Jakie są najpopularniejsze zbiory danych osobowych w sklepie internetowym i czy można je zgłosić razem?
Obowiązek ochrony przetwarzanych danych osobowych ciąży na każdym właścicielu e-sklepu, który taki zbiór danych gromadzi. Wiąże się to nie tylko z koniecznością jego rejestracji u Głównego Inspektora Ochrony Danych Osobowych (GIODO), ale też wdrożenia dokumentacji i odpowiedniego zabezpieczenia danych.
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych administratora danych do zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, z wyjątkiem przypadków zwalniających go z tego obowiązku, o których mowa w art. 43 ust. 1 ustawy.
W rozumieniu ustawy, zbiór danych to
„każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie” (art. 7 pkt 1 ustawy).
Jedno zgłoszenie – jeden zbiór
Ustawa o ochronie danych osobowych wskazuje, iż jedno zgłoszenie zbioru danych powinno obejmować tylko jeden zbiór danych osobowych (art. 41 ustawy). Każdy zbiór danych osobowych, który jest zgłaszany przez Administratora danych różni się między sobą m.in. zakresem przetwarzanych danych, celem przetwarzania danych, podstawą prawną prowadzenia zbioru.
W żadnym wypadku wypełnienie jednego zgłoszenia dla kilku zbiorów danych osobowych nie pozwoli w sposób właściwy scharakteryzować poszczególnych zbiorów objętych tym zgłoszeniem.
Tym samym zgłoszenie kilku zbiorów w jednym wniosku uniemożliwi wskazanie elementów decydujących o jego tożsamości, tj. np. podstawy prawnej przetwarzania danych, zakresu przetwarzanych danych, celu przetwarzania danych w zbiorze. A co za tym idzie nie będzie możliwe stwierdzenie, jaki zakres informacji, o którym mowa w art. 41 ust. 1 ustawy, dotyczy każdego ze zbiorów.
Art. 41. 1. Zgłoszenie zbioru danych do rejestracji powinno zawierać: 1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych, 2) oznaczenie podmiotu prowadzącego zbiór i adres jego siedziby lub 14 miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsce zamieszkania, 2) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania, 3) cel przetwarzania danych, 3a) opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych, 4) sposób zbierania oraz udostępniania danych, 4a) informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane, 5) opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39, 6) informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a, 7) informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
A zatem skoro dane osobowe klientów sklepu internetowego przetwarzane są w różnych celach, jak np. realizacja zamówień klientów sklepu internetowego, prowadzenie statystyk, marketing, prowadzenie bazy umów cywilnoprawnych, to dla ich realizacji potrzebny będzie różny zakres danych osobowych.
Zatem taka baza danych osobowych sklepu internetowego zawiera faktycznie kilka zbiorów danych prowadzonych w różnych celach. Każdy zbiór powinien zostać zgłoszony na oddzielnym formularzu zgłoszeniowym, w którym zostanie uwzględniony odpowiedni zakres danych osobowych oraz cel, dla jakiego są one przetwarzane.
Zbiory danych w e-sklepie
Pamiętając o zasadzie jeden zbiór – jeden cel przetwarzania należy wyodrębnić zbiory danych osobowych w e-sklepie.
Zbiór danych powinien posiadać strukturę. Dane powinny być uporządkowane np. alfabetycznie, wg daty lub numerów identyfikacyjnych.
Zbiór danych powinien być dostępny według określonych kryteriów – chodzi o możliwość przeszukiwania zbiorów, np. wg daty dokonania zakupu, adresu zamieszkania klienta itp.
Zbiór danych może być rozproszony lub podzielony funkcjonalnie. Dane osobowe klientów e-sklepu mogą znaleźć się również poza tzw. bazą danych e-sklepu, czyli np. jeśli sklep korzysta z zewnętrznej obsługi księgowej – dane znajdą się również w oprogramowaniu księgowym; jeśli e-sklep korzysta z zewnętrznego oprogramowania do rozsyłania mailingu, dane pojawią się z pewnością również tam.
Przykładowe zbiory danych w sklepie internetowym:
KLIENCI
Sklep internetowy gromadzi dane klientów takie jak np. ich imiona i nazwiska oraz adresy, gdyż jest to niezbędne do realizacji umowy, a w szczególności do dokonania wysyłki towaru. Dzieje się to podczas składania zamówienia, zakładania przez klienta konta w e-sklepie czy też podczas sprzedaży w sklepie stacjonarnym.
MARKETING
Aby zamówić newsletter Klient musi podać na stronie E-sklepu swój adres e-mail. Niezależnie od tego czy jest to klient zarejestrowany, czy też nie.
Pozyskane w ten sposób adresy e-mail stanowią zbiór danych osobowych, w rozumieniu art. 7 ust. 1 ustawy o ochronie danych osobowych.Jeśli to jedyne działanie marketingowe w e-sklepie – można ów zbiór zatytułować „NEWSLETTER”.
W sytuacji gdy e-sklep organizuje promocje handlowe i promocje dla konsumentów – czyli dociera do konkretnych klientów z rabatami, ofertami specjalnymi, obniżkami – na podstawie różnych metod segmentacji (pojęcie marketingu jest szersze), nazwa zbioru winna mieć bardziej pojemny zakres.
PRACOWNICY
W przypadkach większości e-sklepów zatrudniani są pracownicy.
Na szczęście, obowiązkowi zgodnie z Art. 43 ust. 1 pkt 4 uodo nie podlegają zbiory danych osób zatrudnionych u ADO na podstawie stosunku pracy, o którym mowa wKodeksie pracy, a także dane osób świadczących na rzecz administratora usługi na podstawie umów cywilnoprawnych (umowa-zlecenie, umowa o dzieło), co nie oznacza, że nie podlegają one ochronie.
Taki zbiór należy jednak również wskazać w ewidencji.
Każdy e-sklep może gromadzić dane osobowe z różnych źródeł, dlatego wskazane powyżej zbiory danych osobowych mają jedynie przykładowy charakter.
Nie podlegają rejestracji również zbiory danych osobowych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej (art. 43 pkt. 8 ustawy o ochronie danych osobowych).
Główne cele przetwarzania danych osobowych w sklepach internetowych, na jakie wskazuje GIODO to:
Realizacja zamówień klientów
Marketing (np.wysyłka newslettera)
Prowadzenie bazy umów cywilnoprawnych
Prowadzenie statystyk
Podsumowanie
Zidentyfikowane i wyodrębnione w obrębie e-sklepu zbiory danych należy zgłosić do GIODO. Zgłaszając zbiór nie należy przedkładać żadnej listy dotychczasowych klientów w GIODO a jedynie dany zbiór określając cel przetwarzania zawartych w nim danych osobowych. Wskazane w artykule zbiory danych mają jedynie przykładowy charakter, każdy sklep internetowy może mieć ich mniej lub więcej. Dlatego tak ważne przed przystąpieniem do rejestracji jest wnikliwe przeanalizowanie zakresu przetwarzanych danych i celów, w jakich są one przetwarzane.
Na tak postawione pytaie należy odpowiedzieć PRZECZĄCO:
1. NIE KAŻDY sklep musi być zgłoszony do Generalnego Inspektora Ochrony Danych Osobowych.
2. Co więcej, ustawa o ochronie danych osobowych NIE WYMAGA zgłaszania do GIODO sklepu internetowego a zbiorów danych osobowych, które taki sklep przetwarza.
Od razu jednak musimy dodać, że wszystkich sprzedawców internetowych obowiązuje ustawa o ochronie danych osobowych, a większość sprzedawców musi jednak dokonać zgłoszenia zbiorów danych osobowych do GIODO.
To jak to jest z tym zgłoszeniem?
Każdy e-sklep w związku z realizacją zamówień gromadzi i przetwarza dane osobowe swoich Klientów. Są to dane t.j. imię i nazwisko, adres zamieszkania, adres e-mail, numer telefonu i tym podobne. W ten sposób staje się administratorem danych osobowych i spada na niego obowiązek zgłoszenia zbiorów danych do Generalnego Inspektora Ochrony Danych Osobowych.
Większości sprzedawców wydaje się, że uda się uniknąć rejestracji z uwagi na ART.43.1 pkt. 8 Ustawy o Ochronie Danych Osobowych :
“Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: (…) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, (…)”
Jednak e-sklep to nie tylko faktury czy rachunki.
Dane osobowe Klientów gromadzone są przede wszystkim w celu realizacji zamówień, płatności, w celach marketingowych itp.
Administrator danych powinien przeanalizować i wyodrębnić zbiory i cele, w jakich przetwarza dane osobowe klientów i czy zachodzi którakolwiek z przesłanek zwalniająca go z obowiązku rejestracji zbioru u Generalnego Inspektora Ochrony Danych Osobowych (GIODO).
Czy każdy e-sklep musi zarejestrować zbiory danych w GIODO?
Od 1 stycznia 2015 roku z obowiązku rejestracji zbioru w GIODO zwolnione będą sklepy internetowe, które powołają Administratora bezpieczeństwa informacji i zgłoszą go do GIODO. Jawny rejestr zbiorów u danego Administratora będzie prowadził ABI.
Nie jest to zwolnienie bezwzględne, albowiem jeśli w e-sklepie przetwarzane są dane wrażliwe – dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane, które dotyczą skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych wydanych w postępowaniu sądowym lub administracyjnym itp. to taki zbiór będzie podlegał rejestracji.
Jest to sytuacja niezmiernie rzadka w praktyce sklepów internetowych, ale trzeba o tym pamiętać.
Jeśli administrator danych w sklepie internetowym nie powoła administratora bezpieczeństwa informacji, powinien zanim rozpocznie faktyczną sprzedaż, dokonać rejestracji zbiorów danych w GIODO.
Art. 43 ustawy o ochronie danych wskazuje przypadki wyłączeń obowiązku rejestracji zbiorów danych osobowych:
1. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: 1) zawierających informacje niejawne; 1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności; 2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym; 2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej; 2b) przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym; 2c) przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej; 3) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego; 4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się; 5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta; 6) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego; 7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności; 8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej; 9) powszechnie dostępnych; 10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; 11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego; 12) przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 przetwarzanie niektórych kategorii danych ust. 1. 1a. Obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 przetwarzanie niektórych kategorii danych ust. 1, nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji, z zastrzeżeniem art. 46e ponowne zgłoszenia do rejestracji powołania administratora bezpieczeństwa informacji ust. 2. 2. W odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1 i 3, oraz zbiorów, o których mowa w ust. 1 pkt 1a, przetwarzanych przez Agencję Bezpieczeństwa Wewnętrznego, Agencję Wywiadu, Służbę Kontrwywiadu Wojskowego, Służbę Wywiadu Wojskowego oraz Centralne Biuro Antykorupcyjne, Generalnemu Inspektorowi nie przysługują uprawnienia określone w art. 12 zadania Generalnego Inspektora pkt 2, art. 14 uprawnienia inspektorów pkt 1 i 3-5 oraz art 15-18.
Obowiązuje zasada: jeśli zbiór nie mieści się w tym artykule – podlega rejestracji.
Podsumowanie
Prowadząc sklep internetowy trzeba pamiętać o wszystkich obowiązkach, jakie nakłada na sprzedawcę prawo. Prawo nie nakazuje rejestracji sklepu internetowego w GIODO. Ustawa o ochronie danych osobowych przewiduje dwie możliwości dla sprzedawców – powołać ABI-ego albo zarejestorwać zbiory danych osobowych w GIODO samodzielnie.
Nieznajomość prawa szkodzi, także w e-biznesie. Dobry sprzedawca to taki, który zna regulacje prawne lub korzysta z pomocy specjalistów i w oparciu o to racjonalizuje biznesowe działania, budując tym samym wizerunek rzetelnego sprzedawcy.
Obowiązek rejestracji zbiorów danych osobowych pojawił się wraz z ustawą o ochronie danych osobowych z dnia 29 sierpnia 1997 r.
Sklep internetowy może rozpocząć przetwarzanie danych osobowych zawartych w zbiorach danych dopiero po dokonaniu zgłoszenia takiego zbioru w GIODO.
Jeśli zaś e-sklep przetwarza dane osobowe wrażliwe (art. 27 ust. 1 uodo; np. dane ujawniające stan zdrowia, poglądy polityczne, nałogi), po zgłoszeniu zbioru należy odczekać aż zbiór zostanie faktycznie zarejestrowany przez GIODO. Dopiero wtedy przetwarzanie takich danych będzie legalne.
Zbiór może zostać wpisany do rejestru jeżeli postępowanie rejestracyjne wykaże, że nie zachodzi żadna z przesłanek odmawiających rejestracji, zgodnie z art. 44 ust. 1 ustawy o ochronie danych osobowych.
Art. 44. 1.Generalny Inspektor wydaje decyzję o odmowie rejestracji zbioru danych, jeżeli: 1) nie zostały spełnione wymogi określone w art. 41 ust. 1, 2) przetwarzanie danych naruszałoby zasady określone w art. 23-30, 2) przetwarzanie danych naruszałoby zasady określone w art. 23-28, 3) urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a.
Plan działania dla sprzedawcy:
1. Zebranie informacji o przetwarzanych przez e-sklep danych na podstawie określonych w art. 23 ust. 1 uodo przesłanek
zgoda osoby, której dane dotyczą
realizacja prawa lub obowiązku wynikającego z przepisów prawa
realizacja umowy
realizacja zadań dla dobra publicznego
prawnie usprawiedliwiony cel administratora
1. Dopełnienie obowiązków informacyjnych (art. 24 i 25 uodo) przy zbieraniu danych od osoby, której one dotyczą o:
adresie swojej siedziby i pełnej nazwie/miejscu swojego zamieszkania oraz imieniu i nazwisku
celu zbierania danych/odbiorcach lub kategoriach odbiorców danych
prawie dostępu do treści swoich danych oraz ich poprawiania
1. Podjęcie środków technicznych niezbędnych do zabezpieczenia przetwarzanych danych osobowych (art. 36 ust. 1 UODO oraz przepisy wskazane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych)
2. Podjęcie środków organizacyjnych niezbędnych do zabezpieczenia przetwarzanych danych osobowych (art. 36, art. 37, art. 38, art. 39 oraz przepisy wskazane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych)
3. zawarcie umów powierzenia przetwarzania danych osobowych, jeżeli e-sklep zawiera umowy z podmiotami zewnętrznymi (np. hosting, księgowość)
Rejestracja wniosku – krok po kroku
określić czy rejestracja dotyczy nowego zbioru, w którym przetwarzać będziemy tylko dane zwykłe (zgłoszenie na podstawie art. 40 uodo) czy też wrażliwe (zgłoszenie danych przetwarzanych na podstawie jednej z przesłanek wskazanych w art. 27 uodo). Aktualizacja – zaznaczyć opcję nr 2 art. 41 ust. 2 uodo
nazwać zgłaszany zbiór np. marketing, newsletter itp.
wskazać administratora danych, a więc przedsiębiorcę prowadzącego zbiór, który dokonuje zgłoszenia
określić nazwę administratora, adres siedziby oraz podać nr REGON.
Część B wniosku: wypełnić gdy mamy do czynienia z przedstawicielstwem firmy mającej siedzibę za granicą, a ściślej w tzw. państwie trzecim, czyli państwie, które nie należy do Europejskiego Obszaru Gospodarczego.
określić podmioty, którym powierzamy dane z rejestrowanego zbioru danych.
Wpisać ich nazwy oraz adres siedziby.
wskazać przesłankę (podstawę), zgodnie z którą przetwarzamy dane osobowe z rejestrowanego zbioru.
część C wniosku: określić cel, dla którego przetwarzane będą dane osobowe np. wysyłka newslettera
określić osoby, których dane przetwarzamy np. Klienci, osoby składające reklamację
określić, jakie dane będą przetwarzane w obrębie zgłaszanego zbioru np: e-mail, IP
kolejne pytania dotyczą danych wrażliwych – wypełnić, jeśli e-sklep je przetwarza:
wskazać jakie dane będą przetwarzane w ramach zgłaszanego zbioru np. informacja o nałogach pracownika albo stanie zdrowia.
część D wniosku: określić, w jaki sposób zbieramy dane:
– od osoby, której dane dotyczą (np. Klient sam podaje swoje dane, rejestrując się w e-sklepie)
– z innego źródła (np. z zakupionej legalnie bazy danych).
określić „inne podmioty uprawnione”
Innym podmiotem może być firma, z którą administrator danych współpracuje, przy czym należy pamiętać o tym, by takie udostępnianie odbywało się w sposób legalny.
wskazać podmioty, którym będą udostępniane dane
wpisać nazwę i siedzibę firmy/kategorie podmiotów np. partnerzy biznesowi.
określić, czy administrator danych przekazuje dane z rejestrowanego zbioru do państw trzecich: wpisać nazwy państw trzecich
Część E wniosku: wskazać czy dane przetwarzane są centralnie (upraszczając: w jednym miejscu np. w siedzibie e-sklepu) czy w tzw. architekturze rozproszonej (np. e-sklep ma kilka lokalizacji, a dodatkowo dane są powierzone do przetwarzania innym podmiotom).
zaznaczyć, czy dane przetwarzane będą wyłącznie w wersji papierowej, czy też przy wykorzystaniu systemów informatycznych.
wskazać, czy komputer służący do przetwarzania danych połączony jest z Internetem
wskazać zabezpieczenia:
– typowo fizyczne (np. monitoring, agencja ochrony), środki sprzętowe (np. hasła i loginy, automatyczne wygaszanie monitora), ochrona baz danych (np. kwestie związane z uwierzytelnianiem), środki organizacyjne (np. Szkolenie pracowników).
wskazać, czy został powołany administrator bezpieczeństwa informacji tzw. ABI
wskazać, czy wdrożono dokumenty – m.in. politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych.
część F wniosku: wskazać poziom stosowanych zabezpieczeń
Rozporządzenie wymienia trzy poziomy: podstawowy, podwyższony i wysoki (trzeba wybrać jeden). Tutaj e-sklep powinien wybrać poziom wysoki, gdyż z racji swej specyfiki działania zawsze spełni kryterium połączenia z Internetem.
wysłać wypełniony wniosek do GIODO:
– w sposób tradycyjny (za pośrednictwem poczty listem poleconym, w celu otrzymania dowodu nadania)
– osobiście w biurze GIODO wraz z egzemplarzem do otrzymania prezentaty.
– przy użyciu kwalifikowanego certyfikatu (podpis elektroniczny) – przez Internet
Podsumowanie
Zgłoszenie zbioru danych, na pozór proste, niejednokrotnie nastręcza sprzedawcom wielu trudności. Niniejszy artykuł ma na celu ułatwienie e-sklepom przebrnięcia przez żmudną procedurę rejestracji. Jeśli w trakcie wypełniania wniosku pojawią się wątpliwości interpretacyjne, warto sięgnąć po poradę specjalisty, który po wykonaniu audytu e-sklepu, wykona to profesjonalnie i zapewni gwarancję zachowania procedur wymaganych przez ustawę.
Każdy przedsiębiorca, który przetwarza dane osobowe swoich klientów podlega reżimowi Ustawy o ochronie danych osobowych. W Polsce w dalszym ciągu ciągle króluje nieświadomość w zakresie tego jakie obowiązki nałożył na firmę ustawodawca i z tego powodu większość przedsiębiorców naraża się na przykre konsekwencje prawne. Nie ma co się dziwić, ciężko być specjalistą w każdej dziedzinie. Poniżej pokrótce wyjaśnimy na czym polega obowiązek zgłoszeniowy do GIODO.
Kto podlega obowiązkowi rejestracji w GIODO?
Każdy przedsiębiorca przetwarzając dane osobowe klientów staje się Administratorem Danych Osobowych i jako ten jest zobowiązany zgłosić zbiory danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (art. 40 uodo). Art. 40. Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1.
Ważne by obowiązek rejestracji zbiorów danych osobowych spełnić jeszcze przed rozpoczęciem właściwej działalności (art.46 ust.1 uodo ), czyli rozpoczęciem faktycznej sprzedaży towarów. Art. 46. 1. Administrator danych może, z zastrzeżeniem ust. 2, rozpocząć ich przetwarzanie w zbiorze danych po zgłoszeniu tego zbioru Generalnemu Inspektorowi, chyba że ustawa zwalnia go z tego obowiązku.
Jeżeli już działalność rozpoczęto, należy takiego zgłoszenia dokonać jak najszybciej.
Co podlega zgłoszeniu do GIODO?
Zgłaszając zbiór nie wysyła się żadnych danych osobowych klientów. Rejestracja w GIODO obejmuje jedynie konkretne zbiory ze wskazaniem na cel i zakres przetwarzania zawartych w nim danych osobowych.
Jak wygląda wniosek do GIODO?
Wniosek rejestracyjny do GIODO składa się z kilku części.
I CZĘŚĆ: określamy, czy jest to nowy wniosek, czy aktualizacja lub też wniosek dotyczący danych wrażliwych (ustawa definiuje cześć danych osobowych jako wrażliwe i ogranicza możliwości ich zbierania, ale nie dotyczy to zdecydowanej większości przypadków).
II CZĘŚĆ: określamy Administratora Danych (naszą firmę) i przesłankę, na podstawie której będziemy zbierać dane.
III CZĘŚĆ określamy:
cel przetwarzania danych (np. realizacja zamówień),
kategorie osób, których dane zamierzamy zbierać (np.: klienci i potencjalni klienci sklepu)
informację o tym, jakie dane zamierzamy gromadzić (lista przykładowa do zaznaczenia oraz miejsce do wpisania innych)
informacje o danych wrażliwych – ustawa o ochronie danych osobowych określa w ten sposób dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, stan zdrowia, kod genetyczny, informacje o nałogach, życiu seksualnym, dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
IV CZĘŚĆ: wskazujemy, w jaki sposób zbieramy dane, czyli czy bezpośrednio od danej osoby czy z innego źródła (np. kupionej legalnie bazy danych)
komu będziemy dane udostępniać ( w przypadku sklepu internetowego będzie to zwykle firma kurierska, biuro rachunkowe itp.) oraz czy będziemy je wysyłać za granicę i do państw trzecich.
V CZĘŚĆ: wskazujemy sposób przetwarzania danych (czy tylko na papierze czy tez elektronicznie; czy na komputerach połączonych z Internetem, czy centralnie czy w architekturze rozproszonej), a także opisu zabezpieczeń stosowanych w związku z przetwarzaniem danych – od czysto fizycznych (typu drzwi, zamki, szafy, sejfy) i sprzętowych (np. niszczarki), poprzez firewalle i uwierzytelnianie, po organizacyjne. Wskazujemy informację o powołaniu Administratora Bezpieczeństwa Informacji oraz o opracowaniu dokumentów z zakresu ochrony danych osobowych (Polityka Bezpieczeństwa Informacji oraz Instrukcja zarządzania systemem informatycznym) – dlatego tak ważne by dokumenty te przed dokonaniem rejestracji przygotować i wdrożyć.
Aby jednak zgłoszony zbiór mógł zostać zarejestrowany jego administrator musi spełnić wszystkie wymagania, jakie nakłada na niego wspomniana ustawa oraz rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Dlatego na koniec należy wskazać poziom stosowanych zabezpieczeń, który ma być adekwatny do sposobu przetwarzania danych.
Najczęściej będzie to poziom wysoki, który stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.
Podsumowanie
Podsumowując zaznaczyć należy, iż obowiązek zgłoszenia do GIODO zbioru danych osobowych nie oznacza przesyłania danych osobowych swoich klientów. We wniosku rejestracyjnym jak i aktualizacyjnym wskazuje się konkretne zbiory danych osobowych opisując kategorie przetwarzanych danych oraz cel i zakres ich przetwarzania.
To, czy przedsiębiorcy i inne instytucje przestrzegają przepisów Kodeksu pracy oraz przepisów z zakresu ochrony danych osobowych będzie mogło być sprawdzane podczas jednej kontroli prowadzonej albo przez pracowników Biura GIODO, albo Państwowej Inspekcji Pracy (PIP). Warunkiem połączenia kontroli jest dobra znajomość szczególnych przepisów prawa i jego interpretacji przez inspektorów obydwu instytucji.
Porozumienie GIODO – PIP
14 grudnia 2012 roku zawarte zostało porozumienie pomiędzy Państwową Inspekcją Pracy a Biurem Generalnego Inspektora Ochrony Danych Osobowych, w treści którego określone zostały zasady współpracy tych organów:
Porozumienie określa zasady współdziałania PIP i GIODO w realizacji ustawowych zadań dla podniesienia skuteczności działań na rzecz przestrzegania przepisów o ochronie danych osobowych w stosunkach pracy.
Porozumienie zobowiązuje PIP do zawiadomenia GIODO o „stwierdzonych w czasie kontroli nieprawidłowościach w zakresie zgodności przetwarzania danych z przepisami o ochronie danych osobowych.
Realizowanie kontroli przez inspektorów PIP było dotychczas znacznie utrudnione z uwagi na ich ograniczoną wiedzę w zakresie ochrony danych osobowych.
Jak twierdzi dr Wojciech Wiewiórowski (GIODO)
„W przypadku instytucji publicznych często zawarcie oficjalnego porozumienia po prostu ułatwia działania organizacyjne”.
Celem porozumienia była w związku z tym wymiana doświadczeń z kontroli oraz podnoszenie kwalifikacji pracowników PIP i GIODO po to by mogły wspólnie prowadzić kontrole w zakresie przestrzegania ochrony danych osobowych.
Zakres porozumienia wskazano w:
§ 2, który mówi:
1. Państwowa Inspekcja Pracy zawiadamia GIODO o stwierdzonych w czasie kontroli nieprawidłowościach w zakresie zgodności przetwarzania danych z przepisami o ochronie danych osobowych. GIODO informuje Państwową Inspekcję Pracy o wynikach postępowania w sprawie nieprawidłowości określonych w zdaniu pierwszym.
2. GIODO zawiadamia Państwową Inspekcję Pracy o stwierdzonych w czasie kontroli naruszeniach przepisów prawa pracy.
§ 3 Współdziałanie stron realizowane jest również poprzez:
1. wzajemną wymianę doświadczeń wynikających z kontroli realizowanych przez każdą ze Stron w ramach swoich kompetencji, w zakresie spraw objętych współdziałaniem,
2. działania mające na celu podnoszenie kwalifikacji pracowników PIP i GIODO, w tym współpracę przy opracowywaniu programów szkoleń, wymianę wykładowców, zapewnienie pracownikom, w miarę zgłaszanych potrzeb i możliwości, udziału w kursach i szkoleniach organizowanych przez Strony,
3. prowadzenie wspólnie kontroli w uzgodnionym zakresie tematycznym,
4. konsultacje w zakresie doskonalenia metodyki prowadzenia kontroli w zakresie przestrzegania ochrony danych osobowych przez podmioty kontrolowane.
Więcej kontroli?
Porozumienie PIP – GIODO oznacza większą ilość kontroli procesów przetwarzania danych osobowych.
W całej Polsce, w jednym tylko roku 2015 PIP przeprowadziła blisko 90 000 kontroli (dane z http://www.pip.gov.pl ) podczas gdy GIODO w tym samym czasie mniej niż 200 (dane z http://www.giodo.gov.pl/) . Z pewnością kontrola PIP w zakresie ochrony danych zawsze będzie bardziej pobieżna niż inspekcja GIODO z uwagi na fakt, że inspektorzy PIP nigdy nie będą specjalistami w dziedzinie ochrony danych. Zatem inspektor PIP sprawdzi np. czy w kontrolowanym podmiocie funkcjonuje wymagana prawem dokumentacja (Polityka Bezpieczeństwa, Instrukcja Zarządzania Systemami Informatycznymi, upoważnienia do przetwarzania danych, ewidencja upoważnień), ale nie będzie już analizował szczegółowo jej zapisów. GIODO natomiast przy okazji przeprowadzanych kontroli zweryfikuje respektowanie prawa pracy przez kontrolowaną instytucję. Zapewni to kompleksowość kontroli. Jak wskazuje Dr Wojciech Rafał Wiewiórowski (GIODO):
„Kiedy sprawdzamy działania podejmowane przez przedsiębiorcę, ale również instytucje publiczne, możemy dojść do wniosku, że niektóre z nich nie mają wprawdzie charakteru naruszającego ustawę o ochronie danych osobowych, ale mogą naruszać inne uprawnienia pracowników. W tej sytuacji powinniśmy informować Państwową Inspekcję Pracy. Chodzi nam także o koordynację kontroli, tak żeby nie dochodziło do sytuacji, w której ta sama rzecz jest kontrolowana przez PIP i przez GIODO, raz po razie.”
Dwa urzędy = jednolita wykładnia
Porozumienie ma wpłynąć również na stworzenie jednolitej wykładni przepisów dotyczących prawa do prywatności pracowników przez obydwa urzędy.
Jest to istotne choćby z uwagi na fakt, jaki wskazuje Dr Wojciech Rafał Wiewiórowski (GIODO) iż:
„istnieje przekonanie, że GIODO nie dopuszcza zbierania danych biometrycznych od pracowników, co nie jest do końca prawdą. Nie dopuszczamy tego na potrzeby rozliczenia czasu pracy czy innych obowiązków, wynikających z Kodeksu pracy. Choć mogą też istnieć uzasadnione powody, związane z bezpieczeństwem, które powodują, że jest to możliwe. Jest to dozwolone, na przykład tam, gdzie chodzi o ochronę pomieszczenia albo konkretnego zasobu, który w tym pomieszczeniu się znajduje”
Podsumowanie
Zmiana w zakresie porozumienia GIODO i PIP, która weszła niedawno w życie miała na celu zwiększyć bezpieczeństwo danych osobowych przetwarzanych przez polskie przedsiębiorstwa i zlikwidować nadużycia dotyczące danych osobowych pracowników.
Dla przedsiębiorców ta zmiana oznacza, że uchybienia w tym zakresie będą częściej weryfikowane.
