utworzone przez Ekspert DaneSklepu.pl | lut 9, 2018 | GIODO sklep internetowy
Najprostszą odpowiedzią na to pytanie Kogo dotyczy RODO jest odpowiedź, że dotyczy wszystkich, którzy na terenie Unii Europejskiej przetwarzają dane osobowe. Oczywiście chodzi o podmioty, które robią to w celach inne niż osobiste, czy domowe.
RODO 2018, a sprzedawcy internetowi
Czyli tak, Sprzedawco – RODO dotyczy także Ciebie. Nie ma tutaj znaczenia rozmiar Twojego sklepu ani wielkość bazy danych osobowych, którą posiadasz. Przetwarzasz dane – podlegasz pod RODO.
Oczywiście kłamstwem byłoby stwierdzenie, że RODO dotyczy wszystkich podmiotów tak samo, rzeczą jasną, że nieco inne przygotowania, a potem ewentualne konsekwencje będą wyciągane wobec ogromnej, międzynarodowej korporacji, a inne wobec małego sklepiku online, który zatrudnia dwie osoby.
Niemniej każdy musi być gotowym 25 maja 2018 roku, gdyż właśnie w tym dniu zapisy RODO zaczną obowiązywać na całym terenie Unii Europejskiej.
RODO – najistotniejsze zmiany
Ale które zmiany, które przyniesie RODO są najistotniejsze z perspektywy sprzedawcy internetowego? Na co zwrócić szczególną uwagę?
Po pierwsze – poszerzenie definicji danych osobowych, którą od wejścia w życie RODO każda informacja, dzięki której można będzie ustalić tożsamość danej osoby. Oznacza to, że w poczet tych danych dochodzą takie informacje jak: dane genetyczne, stan zdrowia, lokalizacja, a nawet adresy IP, czy pliki cookies.
Po drugie – likwidacja obowiązku zgłaszania zbioru danych osobowych do GIODO oraz większa swoboda, przy dokonywaniu zabezpieczeń danych osobowych. Aktualnie każdy podmiot przetwarzający dane osobowe, w tym oczywiście także sklepy internetowe były zobowiązane, by zgłaszać do GIODO zbiory danych osobowych. Wiązało się to z formalnościami, które nieraz przysparzały problemy różnym podmiotom.
RODO zmienia to diametralnie, gdyż obowiązek taki likwiduje, a dokumenty takie, jak polityka bezpieczeństwa, czy instrukcja zarządzania systemem informatycznym. W zamian powstanie tzw. rejestr czynności przetwarzania, w których udokumentowane powinny być kwestie środków, które zabezpieczać będą dane osobowe oraz ocena ryzyka, jakiemu podlegają przetwarzane danych. To wszystko będzie w gestii sprzedawcy, który ma tutaj sporą swobodę działania.
Po trzecie – zwiększenie uprawnień osób, których dane przetwarzamy. Pojawienie się nowego rozporządzenia powoduje, że już na wstępie, gdy jako podmiot pozyskujemy dane klienta jesteśmy zobowiązani, by poinformować go nie tylko o celu, dla którego go pozyskujemy, jak było do tej pory, ale także o czasie w jakim dane jego będą przetwarzane, skąd posiadamy jego dane, jeżeli uzyskane one zostały od firm trzecich i komu zamierzamy je w przyszłości przesłać.
Klient oprócz prawa do usunięcia swoich danych z naszej bazy otrzymuje dodatkowe uprawnienia jak: możliwość transferu swoich danych do innej firmy, opcja wglądu w historię przetwarzania swoich danych osobowych oraz „bycia zapomnianym” – czyli całkowitym usunięciu danych, o ile przetwarzanie ich nie jest konieczne ze względów publicznych.
Po czwarte – obowiązek wyznaczenia IODO, czyli Inspektora Ochrony Danych Osobowych. Wraz z wejściem w życie RODO znika ABI, czyli Administrator Bezpieczeństwa Informacji i lukę po nim wypełnia właśnie IODO, którego zadaniami będzie doradztwo administratorowi w kwestiach zarzadzania danymi, jak i ciągły monitoring jego poczynań.
Po piąte – dojdzie do wycieku danych lub innych naruszeń? Musisz o tym poinformować. W takim wypadku zdarzenie takie należy jak najszybciej zgłosić organom nadzorczym oraz administratorowi danych. Ponad to pojawia się obowiązek przekazania takiej informacji klientom, których fakt ten dotyczy.
Po szóste – profilujesz klientów stosując zautomatyzowane przetwarzanie ich danych? Konieczna jest ich zgoda. Ta zmiana wywołuje wiele kontrowersji, zwłaszcza wśród sprzedawców, bo może mieć spory wpływ na spadki konwersji. Od maja, by powstał profil klient bazujący na jego zachowaniu w Sieci, potrzebna jest jego zgoda.
Po siódme – zmiany w zapisach z umów z zewnętrznymi firmami. To także bardzo istotna sprawa z punktu widzenia sprzedawcy internetowego. Większość z nich korzysta z zewnętrznej firmy do spraw księgowości, hostingu, czy systemów do marketingu, czy CRM. Umowy będą musiały zostać zaktualizowane o informacje dotyczące rodzaju danych, czas trwania powierzania, czy jaki jest jego charakter. Dodatkowo potrzebna będzie dokumentacja, która uzasadniać będzie istotę przekazywania danych konkretnej firmie zewnętrznej.
Plusem tego jest fakt, że umowa będzie mogła być sporządzona tylko w wersji elektronicznej.
Po ósme – rejestr czynności przetwarzania. Jak wspomniane było już w punkcie drugim RODO wprowadzi i taką nowość. Rejestr ten jest o tyle istotny, że odciąża sprzedawcę z obowiązku zgłaszania zbioru danych do GIODO. Przede wszystkim powinny być w nim określone: rodzaje działań, jakie podejmowane będą przy przetwarzaniu danych, ryzyka zagrażające bezpieczeństwu tych danych oraz środki, które przeciwdziałać będą zagrożeniom naruszenia bezpieczeństwa danych.
Jak widać trochę zmieni się w kwestii przetwarzania danych osobowych. RODO dotyczy także sprzedawców internetowych przed którymi sporo pracy, jeżeli nie zaczęli się jeszcze przygotowywać do jego nadejścia.
Najważniejsze, by pamiętać o:
– powołaniu Inspektora Ochrony Danych Osobowych;
– zaktualizowaniu umów z firmami zewnętrznymi;
– stworzeniu rejestru czynności przetwarzaniu;
– zaktualizowani formularzy, którymi pozyskuje się dane osobowe klientów, by wymogi informacyjne były spełnione;
– dodatkowych informacjach dla klientów odnośnie usunięcia ich danych, czy przeniesienia ich do innego podmiotu;
– zgodzie, którą klient musi wyrazić, by móc go profilować;
Sprzedawco, RODO wchodzi w życie już 25 maja 2018 roku. Zrób wszystko, by być gotowym na jego przyjście.
utworzone przez Ekspert DaneSklepu.pl | lip 17, 2017 | Bez kategorii, GIODO sklep internetowy
Jakie są najpopularniejsze zbiory danych osobowych w sklepie internetowym i czy można je zgłosić razem?
-
- Obowiązek ochrony przetwarzanych danych osobowych ciąży na każdym właścicielu e-sklepu, który taki zbiór danych gromadzi. Wiąże się to nie tylko z koniecznością jego rejestracji u Głównego Inspektora Ochrony Danych Osobowych (GIODO), ale też wdrożenia dokumentacji i odpowiedniego zabezpieczenia danych.
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych administratora danych do zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, z wyjątkiem przypadków zwalniających go z tego obowiązku, o których mowa w art. 43 ust. 1 ustawy.
W rozumieniu ustawy, zbiór danych to
„każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie” (art. 7 pkt 1 ustawy).
Jedno zgłoszenie – jeden zbiór
Ustawa o ochronie danych osobowych wskazuje, iż jedno zgłoszenie zbioru danych powinno obejmować tylko jeden zbiór danych osobowych (art. 41 ustawy). Każdy zbiór danych osobowych, który jest zgłaszany przez Administratora danych różni się między sobą m.in. zakresem przetwarzanych danych, celem przetwarzania danych, podstawą prawną prowadzenia zbioru.
W żadnym wypadku wypełnienie jednego zgłoszenia dla kilku zbiorów danych osobowych nie pozwoli w sposób właściwy scharakteryzować poszczególnych zbiorów objętych tym zgłoszeniem.
Tym samym zgłoszenie kilku zbiorów w jednym wniosku uniemożliwi wskazanie elementów decydujących o jego tożsamości, tj. np. podstawy prawnej przetwarzania danych, zakresu przetwarzanych danych, celu przetwarzania danych w zbiorze. A co za tym idzie nie będzie możliwe stwierdzenie, jaki zakres informacji, o którym mowa w art. 41 ust. 1 ustawy, dotyczy każdego ze zbiorów.
Art. 41. 1. Zgłoszenie zbioru danych do rejestracji powinno zawierać: 1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych, 2) oznaczenie podmiotu prowadzącego zbiór i adres jego siedziby lub 14 miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsce zamieszkania, 2) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania, 3) cel przetwarzania danych, 3a) opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych, 4) sposób zbierania oraz udostępniania danych, 4a) informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane, 5) opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39, 6) informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a, 7) informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
A zatem skoro dane osobowe klientów sklepu internetowego przetwarzane są w różnych celach, jak np. realizacja zamówień klientów sklepu internetowego, prowadzenie statystyk, marketing, prowadzenie bazy umów cywilnoprawnych, to dla ich realizacji potrzebny będzie różny zakres danych osobowych.
Zatem taka baza danych osobowych sklepu internetowego zawiera faktycznie kilka zbiorów danych prowadzonych w różnych celach. Każdy zbiór powinien zostać zgłoszony na oddzielnym formularzu zgłoszeniowym, w którym zostanie uwzględniony odpowiedni zakres danych osobowych oraz cel, dla jakiego są one przetwarzane.
Zbiory danych w e-sklepie
Pamiętając o zasadzie jeden zbiór – jeden cel przetwarzania należy wyodrębnić zbiory danych osobowych w e-sklepie.
Zbiór danych powinien posiadać strukturę. Dane powinny być uporządkowane np. alfabetycznie, wg daty lub numerów identyfikacyjnych.
Zbiór danych powinien być dostępny według określonych kryteriów – chodzi o możliwość przeszukiwania zbiorów, np. wg daty dokonania zakupu, adresu zamieszkania klienta itp.
Zbiór danych może być rozproszony lub podzielony funkcjonalnie. Dane osobowe klientów e-sklepu mogą znaleźć się również poza tzw. bazą danych e-sklepu, czyli np. jeśli sklep korzysta z zewnętrznej obsługi księgowej – dane znajdą się również w oprogramowaniu księgowym; jeśli e-sklep korzysta z zewnętrznego oprogramowania do rozsyłania mailingu, dane pojawią się z pewnością również tam.
Przykładowe zbiory danych w sklepie internetowym:
KLIENCI
Sklep internetowy gromadzi dane klientów takie jak np. ich imiona i nazwiska oraz adresy, gdyż jest to niezbędne do realizacji umowy, a w szczególności do dokonania wysyłki towaru. Dzieje się to podczas składania zamówienia, zakładania przez klienta konta w e-sklepie czy też podczas sprzedaży w sklepie stacjonarnym.
MARKETING
Aby zamówić newsletter Klient musi podać na stronie E-sklepu swój adres e-mail. Niezależnie od tego czy jest to klient zarejestrowany, czy też nie.
Pozyskane w ten sposób adresy e-mail stanowią zbiór danych osobowych, w rozumieniu art. 7 ust. 1 ustawy o ochronie danych osobowych.Jeśli to jedyne działanie marketingowe w e-sklepie – można ów zbiór zatytułować „NEWSLETTER”.
W sytuacji gdy e-sklep organizuje promocje handlowe i promocje dla konsumentów – czyli dociera do konkretnych klientów z rabatami, ofertami specjalnymi, obniżkami – na podstawie różnych metod segmentacji (pojęcie marketingu jest szersze), nazwa zbioru winna mieć bardziej pojemny zakres.
PRACOWNICY
W przypadkach większości e-sklepów zatrudniani są pracownicy.
Na szczęście, obowiązkowi zgodnie z Art. 43 ust. 1 pkt 4 uodo nie podlegają zbiory danych osób zatrudnionych u ADO na podstawie stosunku pracy, o którym mowa wKodeksie pracy, a także dane osób świadczących na rzecz administratora usługi na podstawie umów cywilnoprawnych (umowa-zlecenie, umowa o dzieło), co nie oznacza, że nie podlegają one ochronie.
Taki zbiór należy jednak również wskazać w ewidencji.
Każdy e-sklep może gromadzić dane osobowe z różnych źródeł, dlatego wskazane powyżej zbiory danych osobowych mają jedynie przykładowy charakter.
Nie podlegają rejestracji również zbiory danych osobowych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej (art. 43 pkt. 8 ustawy o ochronie danych osobowych).
Główne cele przetwarzania danych osobowych w sklepach internetowych, na jakie wskazuje GIODO to:
- Realizacja zamówień klientów
- Marketing (np.wysyłka newslettera)
- Prowadzenie bazy umów cywilnoprawnych
- Prowadzenie statystyk
Podsumowanie
Zidentyfikowane i wyodrębnione w obrębie e-sklepu zbiory danych należy zgłosić do GIODO. Zgłaszając zbiór nie należy przedkładać żadnej listy dotychczasowych klientów w GIODO a jedynie dany zbiór określając cel przetwarzania zawartych w nim danych osobowych. Wskazane w artykule zbiory danych mają jedynie przykładowy charakter, każdy sklep internetowy może mieć ich mniej lub więcej. Dlatego tak ważne przed przystąpieniem do rejestracji jest wnikliwe przeanalizowanie zakresu przetwarzanych danych i celów, w jakich są one przetwarzane.
utworzone przez Ekspert DaneSklepu.pl | gru 15, 2016 | GIODO sklep internetowy
Marketing własnych produktów i usług
Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych reguluje, kiedy firmy mogą przesyłać swoim klientom oferty marketingowe. Jeśli w ten sposób promują własne produkty lub usługi – nie mają obowiązku pozyskiwania zgody klienta. Podstawą wykorzystywania ich danych osobowych będzie bowiem prawnie usprawiedliwiony interes administratora danych (czyli firmy), o którym mowa w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.
Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych
Prawnie usprawiedliwionym celem administratora danych jest marketing bezpośredni własnych produktów i usług. Można więc wykorzystywać dane w tym celu, pod warunkiem że nie narusza to praw i wolności osoby, której dane dotyczą.
Marketing produktów i usług obcej firmy
Przesyłanie klientom ofert marketingowych innej firmy będzie możliwe jedynie za ich zgodą.
Nie istnieją bowiem przepisy prawa, które pozwalałyby na uznanie, że przesyłanie oferty marketingowej innego podmiotu jest działaniem dopuszczalnym jako prawnie usprawiedliwiony interes administratora danych.
Nie pomoże w tym również wzajemna umowa w sprawie wzajemnej promocji produktów i usług.
Podsumowanie
Jeśli zamierzamy wysyłać swoim klientom oferty marketingowe celem promocji własnej marki – nic nie stoi na przeszkodzie. Jeśli natomiast chcemy legalnie promować produkty innej firmy – musimy pamiętać by w tym celu pozyskać od klienta zgodę.
utworzone przez Ekspert DaneSklepu.pl | gru 7, 2016 | GIODO sklep internetowy
Każdy Administrator danych, w tym właściciel sklepu internetowego, aby przetwarzać dane osobowe zgodnie z przepisami ustawy o ochronie danych osobowych, musi wypełnić obowiązki jakie nakłada na niego ustawa. Powinien dopełnić obowiązku zgłoszenia zbioru do rejestracji w prowadzonym przez GIODO ogólnokrajowym, jawnym rejestrze zbiorów danych osobowych i obowiązku informacyjnego, a ponadto we właściwy sposób zabezpieczać zgromadzone dane, dbać o interesy osób, których dane dotyczą i respektować ich prawa gwarantowane ustawą o ochronie danych osobowych.
Jak przetwarzać zgodnie z prawem?
W myśl art. 7 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych:
przetwarzanie danych osobowych to wykonywanie jakichkolwiek operacji na danych osobowych, takich jak np. zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Zatem każda czynność związana z przetwarzaniem danych osobowych powinna odbywać się z poszanowaniem zasad wynikających z powszechnie obowiązujących przepisów prawa dotyczących przetwarzania danych osobowych, w tym z przepisów ustawy o ochronie danych osobowych i wydanych na jej podstawie aktów wykonawczych.
Z prawnego punktu widzenia przepisów o ochronie danych osobowych najważniejsze jest przede wszystkim to by podmiot decydujący o celach i środkach przetwarzania danych osobowych przetwarzając zarówno dane zwykłe jak np. imię, nazwisko czy adres zamieszkania określone w art. 23 ust 1 pkt 1-5 ustawy o ochronie danych osobowych jak i dane wrażliwe takich jak np. dane o stanie zdrowia czy poglądach politycznych – art. 27 ust. 2 pkt 1-10 ustawy spełnił warunki stanowiące o zgodnym z prawem przetwarzaniu danych osobowych, czyli:
1. dopełnił – ustanowionego w art. 40 ustawy o ochronie danych osobowych – obowiązku zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) – zgłoszenie zbioru danych do rejestracji jest regułą, od której wyjątki wymienione zostały w art. 43 ust. 1 pkt. 1-11 ustawy o ochronie danych osobowych. Katalog tych wyjątków jest zamknięty i nie może być interpretowany rozszerzająco. Oceny tego, czy zbiór należy zgłosić do rejestracji, administrator danych dokonuje sam, przy czym zwolnienie zbioru danych z rejestracji jest możliwe tylko wówczas, gdy przesłanka uprawniająca do odstąpienia od rejestracji dotyczy wszystkich danych zawartych w zbiorze,
2. zastosował odpowiednie zabezpieczenia, o których stanowią przepisy rozdziału 5 ustawy o ochronie danych osobowych oraz rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych – administrator jest bowiem zobowiązany zastosować środki techniczne i organizacyjne zapewniające przetwarzanym danym odpowiednią ochronę, a przede wszystkim zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zebraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz utratą, uszkodzeniem lub zniszczeniem (art. 36 ust. 1 ustawy o ochronie danych osobowych),
3. wypełnił obowiązki informacyjne ustanowionego w art. 24 ust. 1 oraz art. 25 ust. 1 ustawy o ochronie danych osobowych, chyba że administrator danych jest z niego zwolniony – w przypadku zbierania danych bezpośrednio od osoby, której dotyczą (art. 24) administrator musi poinformować ją o swojej nazwie i adresie, celu zbierania, odbiorcach danych (także tych przewidywanych), prawie dostępu do danych i prawie ich poprawiania, a także o dobrowolności albo obowiązku ich podania (a gdy obowiązek ten istnieje – o jego podstawie prawnej). W przypadku zbierania danych nie od osoby, której one dotyczą (art. 25),administrator – zaraz po utrwaleniu danych – musi poinformować osobę, której one dotyczą, o swojej nazwie i adresie, celu i zakresie zbierania danych, a zwłaszcza o ich odbiorcach, źródle, z którego dane pozyskał, prawie dostępu do danych i prawie ich poprawiania, a także o prawie żądania zaprzestania przetwarzania danych lub wniesienia sprzeciwu wobec przetwarzania danych,
4. dołożył szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, poprzez zapewnienie, aby dane były przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (o czym stanowi art. 26 ust. 1 pkt. 1 – 4 ustawy o ochronie danych osobowych),
5. respektował prawa osób, których dane dotyczą – prawa te wymienione są w rozdziale 4 ustawy o ochronie danych osobowych i dotyczą kontroli procesu przetwarzania danych.
Naruszenie przepisów o ochronie danych osobowych może narazić administratora danych na odpowiedzialność administracyjną przez GIODO, jak i karną, stosownie do przepisów karnych ustawy o ochronie danych osobowych (art. 49 – art. 54a).
Każdy z tych warunków jest autonomiczny.
Podsumowanie
Bez znaczenia jest z punktu widzenia prawa to, czy sklep internetowy jest prowadzony w mieszkaniu czy w odrębnym biurze. Ustawa nakłada na wszystkich administratorów danych jednakowy obowiązek stosowania odpowiednich do poziomu bezpieczeństwa systemów informatycznych przetwarzających dane osobowe zabezpieczeń.
Każdy administrator musi opracować dokumentację z zakresu ochrony danych osobowych i dokonać zgłoszeń zbiorów danych osobowych do GIODO, o ile nie podlega wyłączeniom w tym zakresie.
Po spełnieniu wszystkich tych przesłanek przetwarzanie danych osobowych w mieszkaniu będzie zgodne z prawem.
utworzone przez Ekspert DaneSklepu.pl | lis 29, 2016 | GIODO sklep internetowy
Na tak postawione pytaie należy odpowiedzieć PRZECZĄCO:
1. NIE KAŻDY sklep musi być zgłoszony do Generalnego Inspektora Ochrony Danych Osobowych.
2. Co więcej, ustawa o ochronie danych osobowych NIE WYMAGA zgłaszania do GIODO sklepu internetowego a zbiorów danych osobowych, które taki sklep przetwarza.
Od razu jednak musimy dodać, że wszystkich sprzedawców internetowych obowiązuje ustawa o ochronie danych osobowych, a większość sprzedawców musi jednak dokonać zgłoszenia zbiorów danych osobowych do GIODO.
To jak to jest z tym zgłoszeniem?
Każdy e-sklep w związku z realizacją zamówień gromadzi i przetwarza dane osobowe swoich Klientów. Są to dane t.j. imię i nazwisko, adres zamieszkania, adres e-mail, numer telefonu i tym podobne. W ten sposób staje się administratorem danych osobowych i spada na niego obowiązek zgłoszenia zbiorów danych do Generalnego Inspektora Ochrony Danych Osobowych.
Większości sprzedawców wydaje się, że uda się uniknąć rejestracji z uwagi na ART.43.1 pkt. 8 Ustawy o Ochronie Danych Osobowych :
“Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:
(…) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, (…)”
Jednak e-sklep to nie tylko faktury czy rachunki.
Dane osobowe Klientów gromadzone są przede wszystkim w celu realizacji zamówień, płatności, w celach marketingowych itp.
Administrator danych powinien przeanalizować i wyodrębnić zbiory i cele, w jakich przetwarza dane osobowe klientów i czy zachodzi którakolwiek z przesłanek zwalniająca go z obowiązku rejestracji zbioru u Generalnego Inspektora Ochrony Danych Osobowych (GIODO).
Czy każdy e-sklep musi zarejestrować zbiory danych w GIODO?
Od 1 stycznia 2015 roku z obowiązku rejestracji zbioru w GIODO zwolnione będą sklepy internetowe, które powołają Administratora bezpieczeństwa informacji i zgłoszą go do GIODO. Jawny rejestr zbiorów u danego Administratora będzie prowadził ABI.
Nie jest to zwolnienie bezwzględne, albowiem jeśli w e-sklepie przetwarzane są dane wrażliwe – dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane, które dotyczą skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych wydanych w postępowaniu sądowym lub administracyjnym itp. to taki zbiór będzie podlegał rejestracji.
Jest to sytuacja niezmiernie rzadka w praktyce sklepów internetowych, ale trzeba o tym pamiętać.
Jeśli administrator danych w sklepie internetowym nie powoła administratora bezpieczeństwa informacji, powinien zanim rozpocznie faktyczną sprzedaż, dokonać rejestracji zbiorów danych w GIODO.
Art. 43 ustawy o ochronie danych wskazuje przypadki wyłączeń obowiązku rejestracji zbiorów danych osobowych:
1. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:
1) zawierających informacje niejawne;
1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności;
2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym;
2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej;
2b) przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym;
2c) przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej;
3) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego;
4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się;
5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta;
6) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego;
7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności;
8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;
9) powszechnie dostępnych;
10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego;
11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego;
12) przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 przetwarzanie niektórych kategorii danych ust. 1.
1a. Obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 przetwarzanie niektórych kategorii danych ust. 1, nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji, z zastrzeżeniem art. 46e ponowne zgłoszenia do rejestracji powołania administratora bezpieczeństwa informacji ust. 2.
2. W odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1 i 3, oraz zbiorów, o których mowa w ust. 1 pkt 1a, przetwarzanych przez Agencję Bezpieczeństwa Wewnętrznego, Agencję Wywiadu, Służbę Kontrwywiadu Wojskowego, Służbę Wywiadu Wojskowego oraz Centralne Biuro Antykorupcyjne, Generalnemu Inspektorowi nie przysługują uprawnienia określone w art. 12 zadania Generalnego Inspektora pkt 2, art. 14 uprawnienia inspektorów pkt 1 i 3-5 oraz art 15-18.
Obowiązuje zasada: jeśli zbiór nie mieści się w tym artykule – podlega rejestracji.
Podsumowanie
Prowadząc sklep internetowy trzeba pamiętać o wszystkich obowiązkach, jakie nakłada na sprzedawcę prawo. Prawo nie nakazuje rejestracji sklepu internetowego w GIODO. Ustawa o ochronie danych osobowych przewiduje dwie możliwości dla sprzedawców – powołać ABI-ego albo zarejestorwać zbiory danych osobowych w GIODO samodzielnie.
Nieznajomość prawa szkodzi, także w e-biznesie. Dobry sprzedawca to taki, który zna regulacje prawne lub korzysta z pomocy specjalistów i w oparciu o to racjonalizuje biznesowe działania, budując tym samym wizerunek rzetelnego sprzedawcy.
utworzone przez Ekspert DaneSklepu.pl | lis 7, 2016 | GIODO sklep internetowy
Uznanie informacji za marketingową albo handlową rodzi określone skutki nie tylko biznesowe, ale również prawne.
Przedsiębiorcy mają wiele problemów z wyodrębnieniem i identyfikacją zbiorów danych osobowych, tworzeniem klauzul zgody jak i samym zbieraniem tychże zgód. Pojawiają się kłopoty z zakwalifikowaniem określonych informacji jako informacji handlowych, przez co często dochodzi do przesyłania drogą elektroniczną niezamówionej informacji handlowej.
Zbiory danych a marketing i informacja handlowa
Dla wyodrębnienia zbioru danych osobowych wystarczy jedno kryterium. Art. 7 pkt.1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych wskazuje, iż zbiór danych to zestaw danych o charakterze osobowym, który jest dostępny według określonych kryteriów.
Przedsiębiorca, który zechce wysyłać informacje marketingowe a zarazem handlowe do swoich klientów powinien wyodrębnić dwa oddzielne zbiory danych osobowych z uwagi na inne kryterium celu ich przetwarzania:
1. zbiór prowadzony w celu marketingu
2. zbiór prowadzony w celu przesyłania informacji handlowej
Ustawa o ochronie danych osobowych mówi o marketingu bezpośrednim własnych produktów lub usług Administratora danych, który o ile jest niezbędny dla wypełnienia prawnie usprawiedliwionych celów Administratora i nie narusza praw i wolności osoby, której dane dotyczą, o tyle jest dozwolony.
Art. 23.
1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
5. jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2, lub osób trzecich, którym są przekazywane te dane – a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą.
Marketing własny produktów i usług jest w praktyce dozwolony lecz zawsze należy zbadać w odniesieniu do danego przypadku, czy zachodzi przesłanka prawnie usprawiedliwionego celu, o której mowa w art. 23 ust.1 pkt.5 ustawy o ochronie danych osobowych.
Czym jest marketing?
Marketing posiada wiele definicji naukowych, ale nie istnieje żadna uniwersalna definicja tego pojęcia. Według Philipa Kothlera marketing jest kombinacją narzędzi, jakimi posługuje się firma, aby osiągnąć pożądane cele na rynku docelowym.
W praktyce działania marketingowe stanowią najczęściej konkursy promocyjne, gry czy reklamę.
Informacja handlowa jest pojęciem prawnym, które zostało uregulowane w dyrektywie 2000/31/WE Parlamentu Europejskiego i Rady z dnia 8 czerwca 2000 r. w sprawie niektórych aspektów prawnych usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego w ramach rynku wewnętrznego (dyrektywa handlu elektronicznego):
Art. 2 Definicje
Do celów niniejszej dyrektywy następujące pojęcia oznaczają:
[…] f) „informacja handlowa”: każda forma informacji przeznaczona do promowania, bezpośrednio lub pośrednio, towarów, usług lub wizerunku przedsiębiorstwa, organizacji lub osoby prowadzącej działalność handlową, gospodarczą, rzemieślniczą lub wykonującą zawód regulowany.
Następujące informacje same w sobie nie stanowią informacji handlowych:
– informacje umożliwiające bezpośredni dostęp do działalności przedsiębiorstwa organizacji lub osoby, w szczególności nazwa domeny lub adres poczty elektronicznej,
– informacje odnoszące się do towarów, usług lub wizerunku przedsiębiorstwa, organizacji lub osoby, opracowywane w sposób niezależny, w szczególności jeżeli są one udzielane bez wzajemnych świadczeń finansowych;
i wskazane w ustawie z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną:
Art.2
Określenia użyte w ustawie oznaczają:
[…] 2. informacja handlowa – każdą informację przeznaczoną bezpośrednio lub pośrednio do promowania towarów, usług lub wizerunku przedsiębiorcy lub osoby wykonującej zawód, której prawo do wykonywania zawodu jest uzależnione od spełnienia wymagań określonych w odrębnych ustawach, z wyłączeniem informacji umożliwiającej porozumiewanie się za pomocą środków komunikacji elektronicznej z określoną osobą oraz informacji o towarach i usługach niesłużącej osiągnięciu efektu handlowego pożądanego przez podmiot, który zleca jej rozpowszechnianie, w szczególności bez wynagrodzenia lub innych korzyści od producentów, sprzedawców i świadczących usługi,
Ponadto ustawa doprecyzowuje:
Art. 9.
1. Informacja handlowa jest wyraźnie wyodrębniana i oznaczana w sposób niebudzący wątpliwości, że jest to informacja handlowa.
2. Informacja handlowa zawiera:
1) oznaczenie podmiotu, na którego zlecenie jest ona rozpowszechniana, oraz jego adresy elektroniczne,
2) wyraźny opis form działalności promocyjnej, w szczególności obniżek cen, nieodpłatnych świadczeń pieniężnych lub rzeczowych i innych korzyści związanych z promowanym towarem, usługą lub wizerunkiem, a także jednoznaczne określenie warunków niezbędnych do skorzystania z tych korzyści, o ile są one składnikiem oferty,
3) wszelkie informacje, które mogą mieć wpływ na określenie zakresu odpowiedzialności stron, w szczególności ostrzeżenia i zastrzeżenia.
Przesyłanie przez przedsiębiorców informacji handlowych drogą elektroniczną do swoich klientów będzie wymagało odebrania uprzedniej zgody od tych osób uprawniających go do przetwarzania ich danych osobowych w tym właśnie celu.
W przypadku przetwarzania danych w celach marketingowych wymóg zbierania zgód nie zawsze będzie obowiązkowe.
W sytuacji jednak gdy zajdzie konieczność odebrania zgody od podmiotu należy pamiętać klauzula zgody przetwarzania danych w celach marketingowych nie będzie mogła zostać połączona z przetwarzaniem danych w celu przesyłania informacji handlowej.
„umieszczenie zgody na dwa w istocie różne sposoby przetwarzania udzielonych danych osobowych w jednym zdaniu, bez ich rozdzielenia i wskazania, czego ta zgoda dotyczy, w niewątpliwy sposób powoduje, iż osoba wyrażająca zgodę nie wie dokładnie, na co wyraża taką zgodę. Sformułowanie oświadczenia może bowiem sugerować, że chodzi jedynie o przetwarzanie danych osobowych w celach przesyłania informacji handlowych drogą elektroniczną albo że chodzi o przetwarzanie danych osobowych w celu przesyłania informacji handlowych drogą zwykłą, albo że chodzi o przetwarzanie danych osobowych w celu przesyłania informacji handlowych drogą elektroniczną i przetwarzanie danych osobowych w celu przesyłania informacji handlowych drogą zwykłą”.
Przedstawione stanowisko znalazło poparcie w wyroku NSA z 31 stycznia 2012 r. (sygn. akt I OSK 1317/11).
Stanowisko to potwierdził również Wojewódzki Sąd Administracyjny w Warszawie w orzeczeniu z dnia 15 czerwca 2010r. (sygn. akt. II SA/Wa 556/10).
Konsekwencją sformułowania jednego oświadczenia woli obejmującego zarówno zgodę, o której mowa w art. 7 pkt 5 ustawy o ochronie danych osobowych (przetwarzanie danych osobowych w celach marketingowych), jak i zgodę określoną w art. 4 ust. 1 ustawy o świadczeniu usług drogą elektroniczną (otrzymywanie informacji handlowych za pomocą poczty elektronicznej), czyli de facto zgodę na dwa różne sposoby przetwarzania udostępnionych danych osobowych w jednym zdaniu, bez ich rozdzielenia i wskazania czego zgoda dotyczy, może być mylne wyobrażenie osoby wyrażającej zgodę co do tego, na co faktycznie się godzi. W takim przypadku nie można mówić o spełnieniu przez administratora danych wymogu zapewnienia osobie, której dane dotyczą, swobodnego i nieskrępowanego podjęcia decyzji i wyrażenia woli w sprawie zgody na przetwarzanie jej danych osobowych, ponieważ podmiot danych, wyrażając chęć otrzymywania informacji handlowych na adres poczty elektronicznej, musi jednocześnie złożyć oświadczenie woli w przedmiocie zgody na przetwarzanie jego danych osobowych w celach marketingowych wynikającą z przepisów ustawy o ochronie danych osobowych, a osoba, której dane dotyczą, zainteresowana otrzymywaniem materiałów reklamowych dotyczących usług i produktów oferowanych przez inne niż administrator danych podmioty wyłącznie tzw. pocztą tradycyjną, zobowiązana jest jednocześnie do wyrażenia woli na przesyłanie na jej adres poczty elektronicznej informacji handlowych.
Zawarcie w jednej klauzuli zgody osoby, której dane dotyczą, na przesyłanie na podany przez nią adres e-mail informacji handlowych ze zgodą na przetwarzanie jej danych osobowych w celach marketingowych może wpłynąć na brak możliwości ich swobodnego odwołania.
Art. 4 ust. 1 pkt 2 uśude stanowi, że jeżeli ustawa wymaga uzyskania zgody usługobiorcy, to zgoda ta może być odwołana w każdym czasie, zaś już przepisy ustawy o ochronie danych nie regulują kwestii odwołania uprzednio wyrażonej zgody.
W sytuacji zawarcia dwóch zgód w jednej klauzuli osoba zainteresowana może nie mieć możliwości odwołania tylko jednej ze zgód, np. gdyby chciała odwołać zgodę na marketing telefoniczny.
Podsumowanie
Przedsiębiorcy powinni umieć dostrzec różnicę pomiędzy działaniami podejmowanymi w celach marketingowych oraz w celach przesyłania informacji handlowych. Działania te będą rodzić określone skutki prawne w zakresie ochrony danych osobowych. Konstruując klauzulę zgody należy pamiętać o zasadzie – jedna zgoda – jeden cel.
Marketing usług własnych można potraktować jako uzasadniony cel administratora danych osobowych, ale trzeba go każdorazowo wyważyć (nie może on bowiem naruszać praw i wolności osób np. korzystających z usługi).
utworzone przez Ekspert DaneSklepu.pl | lis 3, 2016 | Bez kategorii
DECYZJA – odmowa GIODO uwzględnienia wniosku w przedmiocie nakazania usunięcia danych osobowych przez właściciela sklepu internetowego.
Skarżąca w celu wysyłki zamówionego za pośrednictwem sklepu internetowego produktu, utworzyła w tymże sklepie konto internetowe zawierając jednocześnie umowę o świadczeniu usług drogą elektroniczną. W tym celu udostępniła na rzecz Przedsiębiorcy swoje dane osobowe w zakresie: imienia, nazwiska, adresu korespondencyjnego, adresu poczty elektronicznej, numeru telefonu. Ponadto Skarżąca wyraziła zgodę na przetwarzanie swoich danych w celu przeprowadzenia transakcji zakupu i założenia konta internetowego oraz wyraziła zgodę na przetwarzanie swoich danych w celu przeprowadzenia transakcji zakupu i założenia konta internetowego.
Sklep przetwarza przedmiotowe dane w związku z zawartą umową o świadczeniu usług drogą elektroniczną, a także na podstawie udzielonej przez Skarżącą zgody w systemie informatycznym.
Wskazówki GIODO
Sklep przetwarza dane Skarżącej na podstawie art. 23 ust. 1 pkt 1, oraz pkt 3, tzn. w związku z wyrażoną przez Skarżącą zgodą, a także zawartą umową o świadczeniu usług drogą elektroniczną – prowadzenie konta internetowego. Tym samym wyrażona zgoda nie jest jedyną przesłanką do usprawiedliwionego realizowania procesu przetwarzania danych osobowych, zatem, cofnięcie zgody,w sytuacji zaistnienia innej przesłanki określonej w art. 23 ust. 1 ustawy, nie oznacza, iż dalsze przetwarzanie danych automatycznie staje się niedopuszczalne.
W przypadku usługi świadczonej drogą elektroniczną – stosuje się ustawę z 18.07.2002 r. O świadczeniu usług drogą elektroniczną – są to przepisy szczególne wobec przepisów ogólnych – tj. Ustawy o ochronie danych osobowych.
Art. 18 ustawy o świadczeniu usług drogą elektroniczna usługodawca może przetwarzać dane osobowe usługobiorcy niezbędne do nawiązania, ukształtowania treści, zmiany, rozwiązania stosunku prawnego między nimi, takie jak:
- nazwisko i imiona usługobiorcy;
- numer ewidencyjny PESEL lub – gdy ten numer nie został nadany – numer paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość;
- adres zameldowania na pobyt stały;
- adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 3;
- dane służące do weryfikacji podpisu elektronicznego usługobiorcy;
- adresy elektroniczne usługobiorcy.
Podsumowanie
Sklep przetwarza legalnie dane osobowe użytkowników na podstawie zgody Skarżącej oraz w związku z zawartą umową o świadczeniu usług drogą elektroniczną. Spełnienie już jednej z przesłanek legalizujących przetwarzanie danych osobowych jest wystarczające – cofnięcie zgody Skarżącej nie wyklucza zatem zgodnego z prawem przetwarzania danych przez administratora.
Skarżąca miała możliwość zapoznania się z regulaminem sklepu przed założeniem konta.
DOLiS/DEC- 470/13/25576,25566
http://www.giodo.gov.pl/310/id_art/6683/j/pl/
utworzone przez Ekspert DaneSklepu.pl | paź 25, 2016 | GIODO sklep internetowy
Decyzja nakazująca usunięcie uchybień w procesie przetwarzania danych osobowych. Podczas kontroli GIODO wykrył, że Spółka wobec osób korzystających z formularza kontaktowego sklepu internetowego nie realizuje obowiązku informacyjnego z art. 24 ustawy o ochronie danych osobowych.
Nierealizowanie wobec osób korzystających z formularza kontaktowego sklepu internetowego, osób zakładających konto użytkownika tego sklepu oraz osób dokonujących zakupów w sklepie internetowym bez zakładania konta użytkownika, obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 ustawy, powierza dane osób, korzystających z elektronicznego formularza kontaktu sklepu internetowego kilku podmiotom bez pisemnej umowy powierzenia przetwarzania danych, niezastosowaniu odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych przesyłanych w sieci publicznej w związku z procesami tworzenia konta użytkownika na stronie sklepu internetowego, logowania się na to konto i tworzenia zamówienia towaru oraz procesem sprzedaży prowadzonej w sklepie internetowym z uwagi na brak środków kryptograficznej ochrony tych danych, niezgłoszeniu Generalnemu Inspektorowi Ochrony Danych Osobowych zmiany informacji zawartych w zgłoszeniu zbioru danych osobowych dotyczących: adresu siedziby administratora danych, przedstawiciela Spółki, o którym mowa w art. 31a ustawy, powierzenia przetwarzania danych osobowych, podstawy prawnej przetwarzania danych osobowych oraz zakresu danych osobowych przetwarzanych w tym zbiorze (art. 41 ust. 2 ustawy).
ZARZUTY
- nierealizowanie obowiązku informacyjnego z art. 24 ust. 1 ustawy
z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz.
926 z późn. zm.)
- powierzanie danych osób, korzystających z elektronicznego formularza
kontaktu sklepu internetowego mimo niezawarcia pisemnej umowy powierzenia przetwarzania danych osobowych, o której mowa w art. 31 ust. 1 i 2 ustawy z dnia 29 sierpnia 1997 r.
o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.),
- niestosowanie środków kryptograficznej ochrony danych wobec danych osobowych
przesyłanych w sieci publicznej w związku z procesami tworzenia konta użytkownika
na stronie sklepu internetowego, logowania się na to konto i tworzenia zamówienia
towaru oraz w związku z procesem sprzedaży prowadzonej w sklepie internetowym
- niezgłoszenie Generalnemu Inspektorowi Ochrony Danych Osobowych zmiany
informacji zawartych w zgłoszeniu zbioru danych osobowych dotyczących: adresu siedziby administratora danych, przedstawiciela Spółki, o którym mowa w art. 31a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
Do czego zobowiązał GIODO?
GIODO nakazał usunięcie uchybień w procesie przetwarzania danych osobowych
Wskazówki GIODO:
1. Spółka ma udzielać osobom, od których pozyskuje dane osobowe, tj. osobom korzystającym z formularza kontaktowego, osobom zakładającym konto użytkownika oraz osobom dokonującym zakupów w sklepie internetowym bez zakładania konta użytkownika, informacji, o których mowa w art. 24 ust. 1 ustawy o ochronie danych osobowych:
- adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku
- celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych
- prawie dostępu do treści swoich danych oraz ich poprawiania
- dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
2. Spółka pozyskując za pomocą formularza kontaktowego sklepu internetowego dane osobowe użytkowników w zakresie: imię, nazwisko i adres e-mail sklepu internetowego które przekazuje następnie na skrzynkę poczty elektronicznej będącej własnością innej Spółki powinna z tą Spółką zawrzeć umowę powierzenia przetwarzania danych osobowych – albowiem powierzenie danych osobowych podmiotowi zewnętrznemu może nastąpić tylko i wyłącznie w oparciu o umowę powierzenia wskazującą zakres i cel powierzenia.
3. Spółka przekazując dane osobowe klientów w zakresie imię, nazwisko, nazwa prowadzonej działalności gospodarczej, adres oraz Numer Identyfikacji Podatkowej, znajdujące się na fakturach VAT, księgowej, w związku z umową o prowadzenie księgowości powinna również zawrzeć z księgową umowę powierzenia danych osobowych.
4. Spółka powinna zawrzeć umowę powierzenia również z hostingodawcą z uwagi na fakt, iż baza danych klientów sklepu internetowego znajduje się na serwerze należącym do innego podmiotu. który posiada dostęp do wszystkich danych osobowych przetwarzanych z wykorzystaniem ww. serwera.
5. Spółka powinna zawrzeć umowę powierzenia z zewnętrznym administratorem serwera, na którym znajduje się baza danych klientów sklepu internetowego, z racji, że posiada on dostęp do
wszystkich danych osobowych przetwarzanych na serwerze.
6. Spółka jako administrator danych zgodnie z art. 36 ust. 1 ustawy, jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, a także zgodnie z wymogami części C pkt XIII załącznika do rozporządzenia,
administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do
uwierzytelnienia, które są przesyłane w sieci publicznej.
7. Spółka jako administrator danych powinna zapewnić by procesy tworzenia konta przez klienta na stronie sklepu internetowego, logowania się na to konto i tworzenia zamówienia towaru, a także cały proces sprzedaży prowadzonej w sklepie internetowym był zabezpieczony za pomocą środków ochrony kryptograficznej, tj. bezpiecznego protokołu https.
8. Spółka powinna zgodnie z art 41 ust. 2 ustawy zgłaszać Generalnemu Inspektorowi każdą zmianę, czyli w terminie 30 dni od dnia dokonania zmiany w zbiorze danych.
W zgłoszonym do rejestracji zbiorze Spółka nie ujawniła zmian w zakresie
a) adresu siedziby administratora danych – w zgłoszeniu zbioru do rejestracji wskazano nieaktualny
adres siedziby Spółki
b) przedstawiciela Spółki, o którym mowa w art. 31a ustawy – jak ustalono Spółka jest podmiotem
posiadającym siedzibę na terenie Rzeczypospolitej Polskiej, toteż należy wskazać Prezesa Zarządu
c) powierzenia przetwarzania danych osobowych kilku podmiotom (jw)
d) podstawy prawnej przetwarzania danych osobowych – w zgłoszeniu zbioru do rejestracji Spółka
wskazała, jako podstawę prawną przetwarzania danych osobowych zgodę osoby, której dane
dotyczą oraz fakt, iż przetwarzanie danych jest niezbędne do realizacji uprawnienia lub spełnienia
obowiązku wynikającego z przepisu prawa.
W toku kontroli ustalono jednak, że podstawą prawną przetwarzania danych osobowych jest art. 23 ust. 1 pkt 3 ustawy, który stanowi iż przetwarzanie danych jest dopuszczalne wtedy, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą oraz art. 23 ust. 1 pkt 5 ustawy, który stanowi iż przetwarzanie danych jest dopuszczalne wtedy, gdy jest ono niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych;
e) zakresu przetwarzanych danych osobowych – Spółka powinna wskazać w zgłoszeniu, iż przetwarza także następujące informacje dotyczące klientów: adres e-mail, nazwa prowadzonej działalności gospodarczej, nr użytkownika, nr zamówienia, adres IP.
Podsumowanie
Spółka będąc administratorem danych osobowych powinna usunąć wskazane przez GIODO naruszenia stosując się do opisanych powyżej wskazówek oraz unikać uchybień w procesie administrowania danymi w przyszłości.
DIS/DEC-230/14/19293
http://www.giodo.gov.pl/299/id_art/8213/j/pl/
utworzone przez Ekspert DaneSklepu.pl | paź 18, 2016 | GIODO sklep internetowy
Decyzja GIODO w sprawie wyrażenia zgody na przekazanie przez A. S.A., z siedzibą w W. danych osobowych do M., Inc., z siedzibą w Stanach Zjednoczonych Ameryki, pod adresem: N., zwanego dalej Odbiorcą, na podstawie zastosowanych standardowych klauzul umownych stanowiących załącznik do decyzji Komisji Europejskiej 2010/87/UE z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich, na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. UE L 39, z 12.02.2010), A. S.A., z siedzibą w W., złożyła wniosek do GIODO , zwaną dalej Wnioskodawcą lub Spółką, o przekazanie danych osobowych do M., Inc., z siedzibą w Stanach Zjednoczonych Ameryki, pod adresem: N..
Wnioskodawca jest spółką posiadającą siedzibę na terytorium Rzeczypospolitej Polskiej; Wnioskodawca zawarł z Odbiorcą umowę wzorowaną na standardowych klauzulach umownych stanowiących załącznik do decyzji Komisji Europejskiej 2010/87/UE z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich, na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz.UE L 39, z 12.02.2010).
1. Przekazanie danych będzie się odbywało na zasadach ich powierzenia w rozumieniu art. 31 ustawy a będą przekazane dane osobowe, dotyczące następujących kategorii osób:
a) Kontrahenci sensu stricto Wnioskodawcy, obejmująca: osoby fizyczne prowadzące działalność gospodarczą lub też nieprowadzące jej, które na mocy zawartych umów cywilnoprawnych świadczą na rzecz Wnioskodawcy, różnego rodzaju usługi niezwiązane bezpośrednio z przedmiotem działalności Wnioskodawcy (np. sprzątanie, pielęgnacja roślin, indywidualne usługi kurierskie, usługi IT);
b) Agenci Wnioskodawcy – osoby fizyczne świadczące usługi
pośrednictwa przy zbywaniu jednostek uczestnictwa dobrowolnego funduszu emerytalnego w rozumieniu obowiązujących przepisów prawa na podstawie zawartych umów agencyjnych z Wnioskodawcą, które to umowy związane są z przedmiotem działalności Wnioskodawcy;
3. Będą przekazane następujące kategorie danych: podstawowe informacje o osobie, której dane dotyczą (obejmujące: imię, nazwisko, adres zamieszkania, adres poczty elektronicznej, numer telefonu kontaktowego), a także dane związane z realizowaniem płatności (obejmujące numer rachunku bankowego, numer NIP, kwotę oraz rodzaj waluty płatności);
4. Dane będą przekazane w celu korzystania z modułu księgowego aplikacji P., która jest narzędziem zaprojektowanym jako długoterminowe rozwiązanie w obszarze księgowości;
Wnioskodawca w piśmie z dnia […] września 2014 r. oświadczył, że Odbiorca należy do programu Bezpiecznej Przystani w węższym zakresie, niż to określono we wniosku, tj. stosuje on zasady tego programu wyłącznie w odniesieniu do danych związanych z zatrudnieniem a nie będą przekazywane dane szczególnie chronione w rozumieniu ustawy;
Wykorzystywane przez Odbiorcę systemy informatyczne co do zasady spełniają wymogi rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r., Nr 100, poz. 1024), zwanego dalej rozporządzeniem, jednak system nie zapewnia przewidzianego w § 7 rozporządzenia odnotowania: źródła danych, gdyż są one zbierane od osób, których one dotyczą, jak również sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy, gdyż dane są przetwarzane w celach prowadzenia rachunkowości na podstawie przepisów prawa, tym samym w tym zakresie to uprawnienie nie przysługuje.
Wskazówki GIODO:
Zgodnie z art. 47 ust. 1 ustawy, przekazanie danych osobowych
do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych oceniany z uwzględnieniem wszystkich okoliczności dotyczących operacji przekazania danych, w szczególności biorąc pod uwagę:
– charakter danych
– cel
– czas trwania proponowanych operacji przetwarzania danych
– kraj pochodzenia
– kraj ostatecznego przeznaczenia danych
– przepisy prawa obowiązujące w danym państwie trzecim
– stosowane w tym państwie środki bezpieczeństwa i zasady zawodowe (art. 47 ust. 1a ustawy).
Przekazywanie danych osobowych do państwa trzeciego, które nie zapewnia takiego poziomu ochrony z zasady może nastąpić tylko wtedy, gdy zostaną spełnione dodatkowe przesłanki określone w art. 47 ust. 2 lub 3 ustawy.
Natomiast, jeżeli w danym przypadku one nie zachodzą, to przekazanie danych osobowych może mieć miejsce tylko po uzyskaniu zgody Generalnego Inspektora, pod warunkiem, że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą (art. 48 ustawy) Państwo trzecie, w którym siedzibę ma Odbiorca z racji braku wystarczających uregulowań prawnych dotyczących ochrony danych osobowych, nie może być uznane za państwo zapewniające odpowiedni poziom ochrony danych osobowych, jak również w świetle zebranych materiałów dowodowych nie zachodzi żadna z przesłanek określonych w art. 47 ust. 2 lub 3 ustawy – w konsekwencji konieczne jest uzyskanie zgody Generalnego Inspektora.
Generalny Inspektor, rozpatrując wniosek o wyrażenie zgody na przekazanie danych do państwa trzeciego, jest zobowiązany ustalić, czy administrator danych zapewnił odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.
Ze względu na to, że zapewnienie odpowiednich zabezpieczeń może wiązać się z przyjęciem odpowiednich zobowiązań umownych, Generalny Inspektor musi również przeanalizować odpowiednie postanowienia umowne.
Biorąc pod uwagę możliwość zastosowania takiego rozwiązania przez Wnioskodawcę należy wskazać na kompetencję Komisji Europejskiej, która na mocy art. 26 ust. 4 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. WE L 281, z 23.11.1995), zwanej alej dyrektywą, jest uprawniona do uznania w drodze decyzji, że określone standardowe klauzule umowne zapewniają odpowiednią ochronę danych osobowych oraz praw i wolności jednostek. Decyzje te wymagają, aby państwa członkowskie nie odmawiały uznania zabezpieczeń ustanowionych w standardowych klauzulach umownych określonych w decyzjach za zapewniające odpowiednie gwarancje ochrony prywatności oraz podstawowych praw i wolności osób fizycznych oraz wykonywania odpowiednich praw zgodnie z wymogami art. 26 ust. 2 dyrektywy. Nie wyłącza to jednak obowiązku spełnienia pozostałych wymogów nałożonych przez właściwe przepisy krajowe. Taki charakter ma również przywołana przez Spółkę decyzja Komisji 2010/87/UE.
Zadeklarowane przez Spółkę zastosowanie standardowych klauzul umownych określonych
decyzją Komisji 2010/87/UE powoduje konieczność porównania przez Generalnego Inspektora przyjętych przez Spółkę klauzul ze standardowymi klauzulami umownymi. Analiza ta wykazała, że przedstawione przez Spółkę klauzule są zgodne ze standardowymi klauzulami umownymi.
GIODO wskutek analizy ocenił, iż stosowane przez Spółkę środki organizacyjno-techniczne mające na celu zabezpieczenie przetwarzanych danych osobowych. Art. 48 ustawy wskazuje, że zastosowane przez odbiorcę danych środki organizacyjno-techniczne muszą być „odpowiednie” (adekwatne). Środki te nie muszą być identyczne do tych, które są wymagane na terytorium Rzeczpospolitej Polskiej – powinny one adekwatnie zabezpieczać prywatność oraz prawa i wolności osoby, której dane dotyczą.
Jeżeli środki te różnią się od rozwiązań przyjętych w rozporządzeniu, podlegają one każdorazowo ocenie Generalnego Inspektora. Po dokonaniu ich analizy Generalny Inspektor stwierdził, że przedstawione przez Spółkę środki zapewniają odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.
Spółka przekazując dane w ramach powierzenia nie traci przymiotu ich administratora.
Przedmiotowa sprawa dotyczy powierzenia przetwarzania danych osobowych w rozumieniu art. 31 ustawy – odpowiada ona za zgodność z prawem przetwarzanych danych.
Przepisy art. 47 i 48 ustawy wprowadzają dodatkowe wymogi, które należy spełnić, gdy zamierza się przekazać dane osobowe do państwa trzeciego. Konieczność ich wypełnienia nie zwalnia administratora danych z pozostałych obowiązków nałożonych na niego przepisami ustawy.
Decyzja Generalnego Inspektora w przedmiocie wyrażenia zgody na przekazanie danych osobowych do państwa trzeciego nie legalizuje wcześniejszego przekazania danych osobowych do państwa trzeciego, które ewentualnie miałoby miejsce przed datą wydania decyzji w sprawie.
Rozpoczęcie operacji przekazania danych osobowych do państwa trzeciego może nastąpić dopiero po wydaniu stosownej decyzji przez Generalnego Inspektora. Niniejsza decyzja upoważnia Spółkę do przekazania danych osobowych do państw trzecich jedynie na warunkach określonych w złożonym wniosku.
Podsumowanie
Nie w każdej sytuacji przekazywania danych osobowych do państw trzecich jest wymagana zgoda GIODO
Administrator, który korzysta z niezmodyfikowanych standardowych klauzul umownych nie musi występować o taką zgodę.
Jeżeli administrator i odbiorca zdecydują się na wprowadzenie modyfikacji do tekstu standardowych klauzul umownych, konieczne będzie uzyskanie zgody GIODO na transfer danych.
Tekst standardowych klauzul umownych można znaleźć na:
Administrator danych: http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32001D0497&from=PL
Przetwarzający: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:039:0005:0018:PL:PDF
DESiWM/DEC-893/14
http://www.giodo.gov.pl/1520045/id_art/8118/j/pl/
utworzone przez Ekspert DaneSklepu.pl | paź 12, 2016 | GIODO sklep internetowy
Decyzja z 27 kwietnia 2016 r. umarzająca postępowanie dotyczące niezrealizowania obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 ustawy o ochronie danych osobowych, a także braku podstawy prawnej do przetwarzania danych osobowych w celu marketingowym.
Kontrola GIODO dotyczyła danych osób, z którymi Spółka kontaktuje się telefonicznie w celach marketingowych, w tym w celu umówienia spotkania dotyczącego przedstawienia oferty marketingowej.
Najważniejsze zarzuty GIODO wobec Spółki:
- nierealizowanie (prawidłowo) obowiązku informacyjnego wynikającego z art. 25 ust. 1 ustawy wobec osób, których numery telefonów zostały wygenerowane przez Spółkę lub zostały zakupione od S. Sp. z o.o. oraz od M. s.k. (art. 25 ust. 1 ustawy);
- niezapewnienie, aby dane osobowe pochodzące z baz danych udostępnionych Spółce przez S. Sp. z o.o., własnych zbiorów danych o nazwach „N”, „K” i wygenerowanych przez Spółkę nr telefonów były przetwarzane zgodnie z prawem, tj. art. 172 ust. 1 i ust. 2 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2014 r. poz. 243 ze zm.), tj. poprzez brak zgody ww. osób na otrzymywanie informacji marketingowych poprzez użycie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących na podstawie ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (art. 26 ust. 1 pkt 1 ustawy);
- brak w polityce bezpieczeństwa informacji o zbiorze danych o nazwie „N” wraz ze wskazaniem programów zastosowanych do przetwarzania danych osobowych, oraz opisu struktury zbioru danych o nazwie „N” wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi (§ 4 pkt 2 i pkt 3 rozporządzenia).
W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego Spółka złożyła wyjaśnienia i usunęła uchybienia.
- zaprzestano generowania numerów telefonów oraz zawierania umów, których przedmiotem jest powierzanie danych osobowych Spółce przez tzw. brokerów.
- oświadczono, że Spółka będzie przetwarzać dane osobowe pochodzące bezpośrednio od osób, które wyrażają zgodę w stosunku do Spółki na przetwarzanie ich danych w celach marketingowych i że Spółka prowadzi działania marketingowe za pośrednictwem telefonu z ograniczeniem do osób, które wyraziły zgodę na taki kontakt np. na bonach prezentowych, umowach (art. 26 ust. 1 pkt 1 ustawy).
- uzupełniono politykę bezpieczeństwa o informacje dotyczące zbioru danych o nazwie „N” wraz ze wskazaniem programów zastosowanych do przetwarzania danych osobowych, oraz opisu struktury zbioru danych o nazwie „N” wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi (§ 4 pkt 2 i pkt 3 rozporządzenia).
Podsumowanie
Po zmianie brzmienia art. 172 ustawy Prawo telekomunikacyjne nie wchodzi w grę sytuacja, gdy firma kontaktuje się z potencjalnym klientem i zaczyna rozmowę od pytania o zgodę, a w przypadku jej nieuzyskania – rozłącza się.
Dopuszczalna jest natomiast sytuacja, gdy np. następuje kontakt telefoniczny z klientem w celu ustalenia szczegółów realizacji umowy bądź zamówienia, a przy okazji klient pytany jest o zgodę na gruncie art. 172.
Należy pamiętać, że brak dokumentu jakim jest polityka bezpieczeństwa, stanowi przesłankę odmowy rejestracji zbioru danych, określoną w art. 44 ust. 1 pkt 2 w związku z art. 26 ust. pkt 1 ustawy. Każdy przetwarzany przez administratora danych zbiór danych powinien być opisany w dokumentacji przetwarzania danych osobowych oraz w odpowiedni sposób zabezpieczony, nawet jeśli podlega wyłączeniu z obowiązku rejestracji w GIODO. W przeciwnym razie Generalny Inspektor
Ochrony Danych Osobowych wezwie Administratora danych do usunięcia naruszenia.
DEC/DIS-323/16/35657
http://www.giodo.gov.pl/280/id_art/9470/j/pl/
