utworzone przez Ekspert DaneSklepu.pl | lip 17, 2017 | Bez kategorii, GIODO sklep internetowy
Jakie są najpopularniejsze zbiory danych osobowych w sklepie internetowym i czy można je zgłosić razem?
-
- Obowiązek ochrony przetwarzanych danych osobowych ciąży na każdym właścicielu e-sklepu, który taki zbiór danych gromadzi. Wiąże się to nie tylko z koniecznością jego rejestracji u Głównego Inspektora Ochrony Danych Osobowych (GIODO), ale też wdrożenia dokumentacji i odpowiedniego zabezpieczenia danych.
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych administratora danych do zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, z wyjątkiem przypadków zwalniających go z tego obowiązku, o których mowa w art. 43 ust. 1 ustawy.
W rozumieniu ustawy, zbiór danych to
„każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie” (art. 7 pkt 1 ustawy).
Jedno zgłoszenie – jeden zbiór
Ustawa o ochronie danych osobowych wskazuje, iż jedno zgłoszenie zbioru danych powinno obejmować tylko jeden zbiór danych osobowych (art. 41 ustawy). Każdy zbiór danych osobowych, który jest zgłaszany przez Administratora danych różni się między sobą m.in. zakresem przetwarzanych danych, celem przetwarzania danych, podstawą prawną prowadzenia zbioru.
W żadnym wypadku wypełnienie jednego zgłoszenia dla kilku zbiorów danych osobowych nie pozwoli w sposób właściwy scharakteryzować poszczególnych zbiorów objętych tym zgłoszeniem.
Tym samym zgłoszenie kilku zbiorów w jednym wniosku uniemożliwi wskazanie elementów decydujących o jego tożsamości, tj. np. podstawy prawnej przetwarzania danych, zakresu przetwarzanych danych, celu przetwarzania danych w zbiorze. A co za tym idzie nie będzie możliwe stwierdzenie, jaki zakres informacji, o którym mowa w art. 41 ust. 1 ustawy, dotyczy każdego ze zbiorów.
Art. 41. 1. Zgłoszenie zbioru danych do rejestracji powinno zawierać: 1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych, 2) oznaczenie podmiotu prowadzącego zbiór i adres jego siedziby lub 14 miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsce zamieszkania, 2) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania, 3) cel przetwarzania danych, 3a) opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych, 4) sposób zbierania oraz udostępniania danych, 4a) informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane, 5) opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39, 6) informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a, 7) informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
A zatem skoro dane osobowe klientów sklepu internetowego przetwarzane są w różnych celach, jak np. realizacja zamówień klientów sklepu internetowego, prowadzenie statystyk, marketing, prowadzenie bazy umów cywilnoprawnych, to dla ich realizacji potrzebny będzie różny zakres danych osobowych.
Zatem taka baza danych osobowych sklepu internetowego zawiera faktycznie kilka zbiorów danych prowadzonych w różnych celach. Każdy zbiór powinien zostać zgłoszony na oddzielnym formularzu zgłoszeniowym, w którym zostanie uwzględniony odpowiedni zakres danych osobowych oraz cel, dla jakiego są one przetwarzane.
Zbiory danych w e-sklepie
Pamiętając o zasadzie jeden zbiór – jeden cel przetwarzania należy wyodrębnić zbiory danych osobowych w e-sklepie.
Zbiór danych powinien posiadać strukturę. Dane powinny być uporządkowane np. alfabetycznie, wg daty lub numerów identyfikacyjnych.
Zbiór danych powinien być dostępny według określonych kryteriów – chodzi o możliwość przeszukiwania zbiorów, np. wg daty dokonania zakupu, adresu zamieszkania klienta itp.
Zbiór danych może być rozproszony lub podzielony funkcjonalnie. Dane osobowe klientów e-sklepu mogą znaleźć się również poza tzw. bazą danych e-sklepu, czyli np. jeśli sklep korzysta z zewnętrznej obsługi księgowej – dane znajdą się również w oprogramowaniu księgowym; jeśli e-sklep korzysta z zewnętrznego oprogramowania do rozsyłania mailingu, dane pojawią się z pewnością również tam.
Przykładowe zbiory danych w sklepie internetowym:
KLIENCI
Sklep internetowy gromadzi dane klientów takie jak np. ich imiona i nazwiska oraz adresy, gdyż jest to niezbędne do realizacji umowy, a w szczególności do dokonania wysyłki towaru. Dzieje się to podczas składania zamówienia, zakładania przez klienta konta w e-sklepie czy też podczas sprzedaży w sklepie stacjonarnym.
MARKETING
Aby zamówić newsletter Klient musi podać na stronie E-sklepu swój adres e-mail. Niezależnie od tego czy jest to klient zarejestrowany, czy też nie.
Pozyskane w ten sposób adresy e-mail stanowią zbiór danych osobowych, w rozumieniu art. 7 ust. 1 ustawy o ochronie danych osobowych.Jeśli to jedyne działanie marketingowe w e-sklepie – można ów zbiór zatytułować „NEWSLETTER”.
W sytuacji gdy e-sklep organizuje promocje handlowe i promocje dla konsumentów – czyli dociera do konkretnych klientów z rabatami, ofertami specjalnymi, obniżkami – na podstawie różnych metod segmentacji (pojęcie marketingu jest szersze), nazwa zbioru winna mieć bardziej pojemny zakres.
PRACOWNICY
W przypadkach większości e-sklepów zatrudniani są pracownicy.
Na szczęście, obowiązkowi zgodnie z Art. 43 ust. 1 pkt 4 uodo nie podlegają zbiory danych osób zatrudnionych u ADO na podstawie stosunku pracy, o którym mowa wKodeksie pracy, a także dane osób świadczących na rzecz administratora usługi na podstawie umów cywilnoprawnych (umowa-zlecenie, umowa o dzieło), co nie oznacza, że nie podlegają one ochronie.
Taki zbiór należy jednak również wskazać w ewidencji.
Każdy e-sklep może gromadzić dane osobowe z różnych źródeł, dlatego wskazane powyżej zbiory danych osobowych mają jedynie przykładowy charakter.
Nie podlegają rejestracji również zbiory danych osobowych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej (art. 43 pkt. 8 ustawy o ochronie danych osobowych).
Główne cele przetwarzania danych osobowych w sklepach internetowych, na jakie wskazuje GIODO to:
- Realizacja zamówień klientów
- Marketing (np.wysyłka newslettera)
- Prowadzenie bazy umów cywilnoprawnych
- Prowadzenie statystyk
Podsumowanie
Zidentyfikowane i wyodrębnione w obrębie e-sklepu zbiory danych należy zgłosić do GIODO. Zgłaszając zbiór nie należy przedkładać żadnej listy dotychczasowych klientów w GIODO a jedynie dany zbiór określając cel przetwarzania zawartych w nim danych osobowych. Wskazane w artykule zbiory danych mają jedynie przykładowy charakter, każdy sklep internetowy może mieć ich mniej lub więcej. Dlatego tak ważne przed przystąpieniem do rejestracji jest wnikliwe przeanalizowanie zakresu przetwarzanych danych i celów, w jakich są one przetwarzane.
utworzone przez Ekspert DaneSklepu.pl | paź 25, 2016 | GIODO sklep internetowy
Decyzja nakazująca usunięcie uchybień w procesie przetwarzania danych osobowych. Podczas kontroli GIODO wykrył, że Spółka wobec osób korzystających z formularza kontaktowego sklepu internetowego nie realizuje obowiązku informacyjnego z art. 24 ustawy o ochronie danych osobowych.
Nierealizowanie wobec osób korzystających z formularza kontaktowego sklepu internetowego, osób zakładających konto użytkownika tego sklepu oraz osób dokonujących zakupów w sklepie internetowym bez zakładania konta użytkownika, obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 ustawy, powierza dane osób, korzystających z elektronicznego formularza kontaktu sklepu internetowego kilku podmiotom bez pisemnej umowy powierzenia przetwarzania danych, niezastosowaniu odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych przesyłanych w sieci publicznej w związku z procesami tworzenia konta użytkownika na stronie sklepu internetowego, logowania się na to konto i tworzenia zamówienia towaru oraz procesem sprzedaży prowadzonej w sklepie internetowym z uwagi na brak środków kryptograficznej ochrony tych danych, niezgłoszeniu Generalnemu Inspektorowi Ochrony Danych Osobowych zmiany informacji zawartych w zgłoszeniu zbioru danych osobowych dotyczących: adresu siedziby administratora danych, przedstawiciela Spółki, o którym mowa w art. 31a ustawy, powierzenia przetwarzania danych osobowych, podstawy prawnej przetwarzania danych osobowych oraz zakresu danych osobowych przetwarzanych w tym zbiorze (art. 41 ust. 2 ustawy).
ZARZUTY
- nierealizowanie obowiązku informacyjnego z art. 24 ust. 1 ustawy
z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz.
926 z późn. zm.)
- powierzanie danych osób, korzystających z elektronicznego formularza
kontaktu sklepu internetowego mimo niezawarcia pisemnej umowy powierzenia przetwarzania danych osobowych, o której mowa w art. 31 ust. 1 i 2 ustawy z dnia 29 sierpnia 1997 r.
o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.),
- niestosowanie środków kryptograficznej ochrony danych wobec danych osobowych
przesyłanych w sieci publicznej w związku z procesami tworzenia konta użytkownika
na stronie sklepu internetowego, logowania się na to konto i tworzenia zamówienia
towaru oraz w związku z procesem sprzedaży prowadzonej w sklepie internetowym
- niezgłoszenie Generalnemu Inspektorowi Ochrony Danych Osobowych zmiany
informacji zawartych w zgłoszeniu zbioru danych osobowych dotyczących: adresu siedziby administratora danych, przedstawiciela Spółki, o którym mowa w art. 31a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
Do czego zobowiązał GIODO?
GIODO nakazał usunięcie uchybień w procesie przetwarzania danych osobowych
Wskazówki GIODO:
1. Spółka ma udzielać osobom, od których pozyskuje dane osobowe, tj. osobom korzystającym z formularza kontaktowego, osobom zakładającym konto użytkownika oraz osobom dokonującym zakupów w sklepie internetowym bez zakładania konta użytkownika, informacji, o których mowa w art. 24 ust. 1 ustawy o ochronie danych osobowych:
- adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku
- celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych
- prawie dostępu do treści swoich danych oraz ich poprawiania
- dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
2. Spółka pozyskując za pomocą formularza kontaktowego sklepu internetowego dane osobowe użytkowników w zakresie: imię, nazwisko i adres e-mail sklepu internetowego które przekazuje następnie na skrzynkę poczty elektronicznej będącej własnością innej Spółki powinna z tą Spółką zawrzeć umowę powierzenia przetwarzania danych osobowych – albowiem powierzenie danych osobowych podmiotowi zewnętrznemu może nastąpić tylko i wyłącznie w oparciu o umowę powierzenia wskazującą zakres i cel powierzenia.
3. Spółka przekazując dane osobowe klientów w zakresie imię, nazwisko, nazwa prowadzonej działalności gospodarczej, adres oraz Numer Identyfikacji Podatkowej, znajdujące się na fakturach VAT, księgowej, w związku z umową o prowadzenie księgowości powinna również zawrzeć z księgową umowę powierzenia danych osobowych.
4. Spółka powinna zawrzeć umowę powierzenia również z hostingodawcą z uwagi na fakt, iż baza danych klientów sklepu internetowego znajduje się na serwerze należącym do innego podmiotu. który posiada dostęp do wszystkich danych osobowych przetwarzanych z wykorzystaniem ww. serwera.
5. Spółka powinna zawrzeć umowę powierzenia z zewnętrznym administratorem serwera, na którym znajduje się baza danych klientów sklepu internetowego, z racji, że posiada on dostęp do
wszystkich danych osobowych przetwarzanych na serwerze.
6. Spółka jako administrator danych zgodnie z art. 36 ust. 1 ustawy, jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, a także zgodnie z wymogami części C pkt XIII załącznika do rozporządzenia,
administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do
uwierzytelnienia, które są przesyłane w sieci publicznej.
7. Spółka jako administrator danych powinna zapewnić by procesy tworzenia konta przez klienta na stronie sklepu internetowego, logowania się na to konto i tworzenia zamówienia towaru, a także cały proces sprzedaży prowadzonej w sklepie internetowym był zabezpieczony za pomocą środków ochrony kryptograficznej, tj. bezpiecznego protokołu https.
8. Spółka powinna zgodnie z art 41 ust. 2 ustawy zgłaszać Generalnemu Inspektorowi każdą zmianę, czyli w terminie 30 dni od dnia dokonania zmiany w zbiorze danych.
W zgłoszonym do rejestracji zbiorze Spółka nie ujawniła zmian w zakresie
a) adresu siedziby administratora danych – w zgłoszeniu zbioru do rejestracji wskazano nieaktualny
adres siedziby Spółki
b) przedstawiciela Spółki, o którym mowa w art. 31a ustawy – jak ustalono Spółka jest podmiotem
posiadającym siedzibę na terenie Rzeczypospolitej Polskiej, toteż należy wskazać Prezesa Zarządu
c) powierzenia przetwarzania danych osobowych kilku podmiotom (jw)
d) podstawy prawnej przetwarzania danych osobowych – w zgłoszeniu zbioru do rejestracji Spółka
wskazała, jako podstawę prawną przetwarzania danych osobowych zgodę osoby, której dane
dotyczą oraz fakt, iż przetwarzanie danych jest niezbędne do realizacji uprawnienia lub spełnienia
obowiązku wynikającego z przepisu prawa.
W toku kontroli ustalono jednak, że podstawą prawną przetwarzania danych osobowych jest art. 23 ust. 1 pkt 3 ustawy, który stanowi iż przetwarzanie danych jest dopuszczalne wtedy, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą oraz art. 23 ust. 1 pkt 5 ustawy, który stanowi iż przetwarzanie danych jest dopuszczalne wtedy, gdy jest ono niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych;
e) zakresu przetwarzanych danych osobowych – Spółka powinna wskazać w zgłoszeniu, iż przetwarza także następujące informacje dotyczące klientów: adres e-mail, nazwa prowadzonej działalności gospodarczej, nr użytkownika, nr zamówienia, adres IP.
Podsumowanie
Spółka będąc administratorem danych osobowych powinna usunąć wskazane przez GIODO naruszenia stosując się do opisanych powyżej wskazówek oraz unikać uchybień w procesie administrowania danymi w przyszłości.
DIS/DEC-230/14/19293
http://www.giodo.gov.pl/299/id_art/8213/j/pl/
utworzone przez Ekspert DaneSklepu.pl | paź 18, 2016 | GIODO sklep internetowy
Decyzja GIODO w sprawie wyrażenia zgody na przekazanie przez A. S.A., z siedzibą w W. danych osobowych do M., Inc., z siedzibą w Stanach Zjednoczonych Ameryki, pod adresem: N., zwanego dalej Odbiorcą, na podstawie zastosowanych standardowych klauzul umownych stanowiących załącznik do decyzji Komisji Europejskiej 2010/87/UE z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich, na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. UE L 39, z 12.02.2010), A. S.A., z siedzibą w W., złożyła wniosek do GIODO , zwaną dalej Wnioskodawcą lub Spółką, o przekazanie danych osobowych do M., Inc., z siedzibą w Stanach Zjednoczonych Ameryki, pod adresem: N..
Wnioskodawca jest spółką posiadającą siedzibę na terytorium Rzeczypospolitej Polskiej; Wnioskodawca zawarł z Odbiorcą umowę wzorowaną na standardowych klauzulach umownych stanowiących załącznik do decyzji Komisji Europejskiej 2010/87/UE z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich, na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz.UE L 39, z 12.02.2010).
1. Przekazanie danych będzie się odbywało na zasadach ich powierzenia w rozumieniu art. 31 ustawy a będą przekazane dane osobowe, dotyczące następujących kategorii osób:
a) Kontrahenci sensu stricto Wnioskodawcy, obejmująca: osoby fizyczne prowadzące działalność gospodarczą lub też nieprowadzące jej, które na mocy zawartych umów cywilnoprawnych świadczą na rzecz Wnioskodawcy, różnego rodzaju usługi niezwiązane bezpośrednio z przedmiotem działalności Wnioskodawcy (np. sprzątanie, pielęgnacja roślin, indywidualne usługi kurierskie, usługi IT);
b) Agenci Wnioskodawcy – osoby fizyczne świadczące usługi
pośrednictwa przy zbywaniu jednostek uczestnictwa dobrowolnego funduszu emerytalnego w rozumieniu obowiązujących przepisów prawa na podstawie zawartych umów agencyjnych z Wnioskodawcą, które to umowy związane są z przedmiotem działalności Wnioskodawcy;
3. Będą przekazane następujące kategorie danych: podstawowe informacje o osobie, której dane dotyczą (obejmujące: imię, nazwisko, adres zamieszkania, adres poczty elektronicznej, numer telefonu kontaktowego), a także dane związane z realizowaniem płatności (obejmujące numer rachunku bankowego, numer NIP, kwotę oraz rodzaj waluty płatności);
4. Dane będą przekazane w celu korzystania z modułu księgowego aplikacji P., która jest narzędziem zaprojektowanym jako długoterminowe rozwiązanie w obszarze księgowości;
Wnioskodawca w piśmie z dnia […] września 2014 r. oświadczył, że Odbiorca należy do programu Bezpiecznej Przystani w węższym zakresie, niż to określono we wniosku, tj. stosuje on zasady tego programu wyłącznie w odniesieniu do danych związanych z zatrudnieniem a nie będą przekazywane dane szczególnie chronione w rozumieniu ustawy;
Wykorzystywane przez Odbiorcę systemy informatyczne co do zasady spełniają wymogi rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r., Nr 100, poz. 1024), zwanego dalej rozporządzeniem, jednak system nie zapewnia przewidzianego w § 7 rozporządzenia odnotowania: źródła danych, gdyż są one zbierane od osób, których one dotyczą, jak również sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy, gdyż dane są przetwarzane w celach prowadzenia rachunkowości na podstawie przepisów prawa, tym samym w tym zakresie to uprawnienie nie przysługuje.
Wskazówki GIODO:
Zgodnie z art. 47 ust. 1 ustawy, przekazanie danych osobowych
do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych oceniany z uwzględnieniem wszystkich okoliczności dotyczących operacji przekazania danych, w szczególności biorąc pod uwagę:
– charakter danych
– cel
– czas trwania proponowanych operacji przetwarzania danych
– kraj pochodzenia
– kraj ostatecznego przeznaczenia danych
– przepisy prawa obowiązujące w danym państwie trzecim
– stosowane w tym państwie środki bezpieczeństwa i zasady zawodowe (art. 47 ust. 1a ustawy).
Przekazywanie danych osobowych do państwa trzeciego, które nie zapewnia takiego poziomu ochrony z zasady może nastąpić tylko wtedy, gdy zostaną spełnione dodatkowe przesłanki określone w art. 47 ust. 2 lub 3 ustawy.
Natomiast, jeżeli w danym przypadku one nie zachodzą, to przekazanie danych osobowych może mieć miejsce tylko po uzyskaniu zgody Generalnego Inspektora, pod warunkiem, że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą (art. 48 ustawy) Państwo trzecie, w którym siedzibę ma Odbiorca z racji braku wystarczających uregulowań prawnych dotyczących ochrony danych osobowych, nie może być uznane za państwo zapewniające odpowiedni poziom ochrony danych osobowych, jak również w świetle zebranych materiałów dowodowych nie zachodzi żadna z przesłanek określonych w art. 47 ust. 2 lub 3 ustawy – w konsekwencji konieczne jest uzyskanie zgody Generalnego Inspektora.
Generalny Inspektor, rozpatrując wniosek o wyrażenie zgody na przekazanie danych do państwa trzeciego, jest zobowiązany ustalić, czy administrator danych zapewnił odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.
Ze względu na to, że zapewnienie odpowiednich zabezpieczeń może wiązać się z przyjęciem odpowiednich zobowiązań umownych, Generalny Inspektor musi również przeanalizować odpowiednie postanowienia umowne.
Biorąc pod uwagę możliwość zastosowania takiego rozwiązania przez Wnioskodawcę należy wskazać na kompetencję Komisji Europejskiej, która na mocy art. 26 ust. 4 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. WE L 281, z 23.11.1995), zwanej alej dyrektywą, jest uprawniona do uznania w drodze decyzji, że określone standardowe klauzule umowne zapewniają odpowiednią ochronę danych osobowych oraz praw i wolności jednostek. Decyzje te wymagają, aby państwa członkowskie nie odmawiały uznania zabezpieczeń ustanowionych w standardowych klauzulach umownych określonych w decyzjach za zapewniające odpowiednie gwarancje ochrony prywatności oraz podstawowych praw i wolności osób fizycznych oraz wykonywania odpowiednich praw zgodnie z wymogami art. 26 ust. 2 dyrektywy. Nie wyłącza to jednak obowiązku spełnienia pozostałych wymogów nałożonych przez właściwe przepisy krajowe. Taki charakter ma również przywołana przez Spółkę decyzja Komisji 2010/87/UE.
Zadeklarowane przez Spółkę zastosowanie standardowych klauzul umownych określonych
decyzją Komisji 2010/87/UE powoduje konieczność porównania przez Generalnego Inspektora przyjętych przez Spółkę klauzul ze standardowymi klauzulami umownymi. Analiza ta wykazała, że przedstawione przez Spółkę klauzule są zgodne ze standardowymi klauzulami umownymi.
GIODO wskutek analizy ocenił, iż stosowane przez Spółkę środki organizacyjno-techniczne mające na celu zabezpieczenie przetwarzanych danych osobowych. Art. 48 ustawy wskazuje, że zastosowane przez odbiorcę danych środki organizacyjno-techniczne muszą być „odpowiednie” (adekwatne). Środki te nie muszą być identyczne do tych, które są wymagane na terytorium Rzeczpospolitej Polskiej – powinny one adekwatnie zabezpieczać prywatność oraz prawa i wolności osoby, której dane dotyczą.
Jeżeli środki te różnią się od rozwiązań przyjętych w rozporządzeniu, podlegają one każdorazowo ocenie Generalnego Inspektora. Po dokonaniu ich analizy Generalny Inspektor stwierdził, że przedstawione przez Spółkę środki zapewniają odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.
Spółka przekazując dane w ramach powierzenia nie traci przymiotu ich administratora.
Przedmiotowa sprawa dotyczy powierzenia przetwarzania danych osobowych w rozumieniu art. 31 ustawy – odpowiada ona za zgodność z prawem przetwarzanych danych.
Przepisy art. 47 i 48 ustawy wprowadzają dodatkowe wymogi, które należy spełnić, gdy zamierza się przekazać dane osobowe do państwa trzeciego. Konieczność ich wypełnienia nie zwalnia administratora danych z pozostałych obowiązków nałożonych na niego przepisami ustawy.
Decyzja Generalnego Inspektora w przedmiocie wyrażenia zgody na przekazanie danych osobowych do państwa trzeciego nie legalizuje wcześniejszego przekazania danych osobowych do państwa trzeciego, które ewentualnie miałoby miejsce przed datą wydania decyzji w sprawie.
Rozpoczęcie operacji przekazania danych osobowych do państwa trzeciego może nastąpić dopiero po wydaniu stosownej decyzji przez Generalnego Inspektora. Niniejsza decyzja upoważnia Spółkę do przekazania danych osobowych do państw trzecich jedynie na warunkach określonych w złożonym wniosku.
Podsumowanie
Nie w każdej sytuacji przekazywania danych osobowych do państw trzecich jest wymagana zgoda GIODO
Administrator, który korzysta z niezmodyfikowanych standardowych klauzul umownych nie musi występować o taką zgodę.
Jeżeli administrator i odbiorca zdecydują się na wprowadzenie modyfikacji do tekstu standardowych klauzul umownych, konieczne będzie uzyskanie zgody GIODO na transfer danych.
Tekst standardowych klauzul umownych można znaleźć na:
Administrator danych: http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32001D0497&from=PL
Przetwarzający: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:039:0005:0018:PL:PDF
DESiWM/DEC-893/14
http://www.giodo.gov.pl/1520045/id_art/8118/j/pl/
utworzone przez Ekspert DaneSklepu.pl | paź 12, 2016 | GIODO sklep internetowy
Decyzja z 27 kwietnia 2016 r. umarzająca postępowanie dotyczące niezrealizowania obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 ustawy o ochronie danych osobowych, a także braku podstawy prawnej do przetwarzania danych osobowych w celu marketingowym.
Kontrola GIODO dotyczyła danych osób, z którymi Spółka kontaktuje się telefonicznie w celach marketingowych, w tym w celu umówienia spotkania dotyczącego przedstawienia oferty marketingowej.
Najważniejsze zarzuty GIODO wobec Spółki:
- nierealizowanie (prawidłowo) obowiązku informacyjnego wynikającego z art. 25 ust. 1 ustawy wobec osób, których numery telefonów zostały wygenerowane przez Spółkę lub zostały zakupione od S. Sp. z o.o. oraz od M. s.k. (art. 25 ust. 1 ustawy);
- niezapewnienie, aby dane osobowe pochodzące z baz danych udostępnionych Spółce przez S. Sp. z o.o., własnych zbiorów danych o nazwach „N”, „K” i wygenerowanych przez Spółkę nr telefonów były przetwarzane zgodnie z prawem, tj. art. 172 ust. 1 i ust. 2 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2014 r. poz. 243 ze zm.), tj. poprzez brak zgody ww. osób na otrzymywanie informacji marketingowych poprzez użycie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących na podstawie ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (art. 26 ust. 1 pkt 1 ustawy);
- brak w polityce bezpieczeństwa informacji o zbiorze danych o nazwie „N” wraz ze wskazaniem programów zastosowanych do przetwarzania danych osobowych, oraz opisu struktury zbioru danych o nazwie „N” wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi (§ 4 pkt 2 i pkt 3 rozporządzenia).
W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego Spółka złożyła wyjaśnienia i usunęła uchybienia.
- zaprzestano generowania numerów telefonów oraz zawierania umów, których przedmiotem jest powierzanie danych osobowych Spółce przez tzw. brokerów.
- oświadczono, że Spółka będzie przetwarzać dane osobowe pochodzące bezpośrednio od osób, które wyrażają zgodę w stosunku do Spółki na przetwarzanie ich danych w celach marketingowych i że Spółka prowadzi działania marketingowe za pośrednictwem telefonu z ograniczeniem do osób, które wyraziły zgodę na taki kontakt np. na bonach prezentowych, umowach (art. 26 ust. 1 pkt 1 ustawy).
- uzupełniono politykę bezpieczeństwa o informacje dotyczące zbioru danych o nazwie „N” wraz ze wskazaniem programów zastosowanych do przetwarzania danych osobowych, oraz opisu struktury zbioru danych o nazwie „N” wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi (§ 4 pkt 2 i pkt 3 rozporządzenia).
Podsumowanie
Po zmianie brzmienia art. 172 ustawy Prawo telekomunikacyjne nie wchodzi w grę sytuacja, gdy firma kontaktuje się z potencjalnym klientem i zaczyna rozmowę od pytania o zgodę, a w przypadku jej nieuzyskania – rozłącza się.
Dopuszczalna jest natomiast sytuacja, gdy np. następuje kontakt telefoniczny z klientem w celu ustalenia szczegółów realizacji umowy bądź zamówienia, a przy okazji klient pytany jest o zgodę na gruncie art. 172.
Należy pamiętać, że brak dokumentu jakim jest polityka bezpieczeństwa, stanowi przesłankę odmowy rejestracji zbioru danych, określoną w art. 44 ust. 1 pkt 2 w związku z art. 26 ust. pkt 1 ustawy. Każdy przetwarzany przez administratora danych zbiór danych powinien być opisany w dokumentacji przetwarzania danych osobowych oraz w odpowiedni sposób zabezpieczony, nawet jeśli podlega wyłączeniu z obowiązku rejestracji w GIODO. W przeciwnym razie Generalny Inspektor
Ochrony Danych Osobowych wezwie Administratora danych do usunięcia naruszenia.
DEC/DIS-323/16/35657
http://www.giodo.gov.pl/280/id_art/9470/j/pl/
utworzone przez Ekspert DaneSklepu.pl | sie 30, 2016 | GIODO sklep internetowy
Każdy przedsiębiorca, który przetwarza dane osobowe swoich klientów podlega reżimowi Ustawy o ochronie danych osobowych. W Polsce w dalszym ciągu ciągle króluje nieświadomość w zakresie tego jakie obowiązki nałożył na firmę ustawodawca i z tego powodu większość przedsiębiorców naraża się na przykre konsekwencje prawne. Nie ma co się dziwić, ciężko być specjalistą w każdej dziedzinie.
Poniżej pokrótce wyjaśnimy na czym polega obowiązek zgłoszeniowy do GIODO.
Kto podlega obowiązkowi rejestracji w GIODO?
Każdy przedsiębiorca przetwarzając dane osobowe klientów staje się Administratorem Danych Osobowych i jako ten jest zobowiązany zgłosić zbiory danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (art. 40 uodo).
Art. 40. Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1.
Ważne by obowiązek rejestracji zbiorów danych osobowych spełnić jeszcze przed rozpoczęciem właściwej działalności (art.46 ust.1 uodo ), czyli rozpoczęciem faktycznej sprzedaży towarów.
Art. 46. 1. Administrator danych może, z zastrzeżeniem ust. 2, rozpocząć ich przetwarzanie w zbiorze danych po zgłoszeniu tego zbioru Generalnemu Inspektorowi, chyba że ustawa zwalnia go z tego obowiązku.
Jeżeli już działalność rozpoczęto, należy takiego zgłoszenia dokonać jak najszybciej.
Co podlega zgłoszeniu do GIODO?
Zgłaszając zbiór nie wysyła się żadnych danych osobowych klientów. Rejestracja w GIODO obejmuje jedynie konkretne zbiory ze wskazaniem na cel i zakres przetwarzania zawartych w nim danych osobowych.
Jak wygląda wniosek do GIODO?
Wniosek rejestracyjny do GIODO składa się z kilku części.
I CZĘŚĆ: określamy, czy jest to nowy wniosek, czy aktualizacja lub też wniosek dotyczący danych wrażliwych (ustawa definiuje cześć danych osobowych jako wrażliwe i ogranicza możliwości ich zbierania, ale nie dotyczy to zdecydowanej większości przypadków).
II CZĘŚĆ: określamy Administratora Danych (naszą firmę) i przesłankę, na podstawie której będziemy zbierać dane.
III CZĘŚĆ określamy:
- cel przetwarzania danych (np. realizacja zamówień),
- kategorie osób, których dane zamierzamy zbierać (np.: klienci i potencjalni klienci sklepu)
- informację o tym, jakie dane zamierzamy gromadzić (lista przykładowa do zaznaczenia oraz miejsce do wpisania innych)
- informacje o danych wrażliwych – ustawa o ochronie danych osobowych określa w ten sposób dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, stan zdrowia, kod genetyczny, informacje o nałogach, życiu seksualnym, dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
IV CZĘŚĆ: wskazujemy, w jaki sposób zbieramy dane, czyli czy bezpośrednio od danej osoby czy z innego źródła (np. kupionej legalnie bazy danych)
komu będziemy dane udostępniać ( w przypadku sklepu internetowego będzie to zwykle firma kurierska, biuro rachunkowe itp.) oraz czy będziemy je wysyłać za granicę i do państw trzecich.
V CZĘŚĆ: wskazujemy sposób przetwarzania danych (czy tylko na papierze czy tez elektronicznie; czy na komputerach połączonych z Internetem, czy centralnie czy w architekturze rozproszonej), a także opisu zabezpieczeń stosowanych w związku z przetwarzaniem danych – od czysto fizycznych (typu drzwi, zamki, szafy, sejfy) i sprzętowych (np. niszczarki), poprzez firewalle i uwierzytelnianie, po organizacyjne. Wskazujemy informację o powołaniu Administratora Bezpieczeństwa Informacji oraz o opracowaniu dokumentów z zakresu ochrony danych osobowych (Polityka Bezpieczeństwa Informacji oraz Instrukcja zarządzania systemem informatycznym) – dlatego tak ważne by dokumenty te przed dokonaniem rejestracji przygotować i wdrożyć.
Aby jednak zgłoszony zbiór mógł zostać zarejestrowany jego administrator musi spełnić wszystkie wymagania, jakie nakłada na niego wspomniana ustawa oraz rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Dlatego na koniec należy wskazać poziom stosowanych zabezpieczeń, który ma być adekwatny do sposobu przetwarzania danych.
Najczęściej będzie to poziom wysoki, który stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.
Podsumowanie
Podsumowując zaznaczyć należy, iż obowiązek zgłoszenia do GIODO zbioru danych osobowych nie oznacza przesyłania danych osobowych swoich klientów. We wniosku rejestracyjnym jak i aktualizacyjnym wskazuje się konkretne zbiory danych osobowych opisując kategorie przetwarzanych danych oraz cel i zakres ich przetwarzania.
