Sklep Internetowy BestSeller
Harley-Davidson® Katowice
Odzież marki Harley-Davidson®.
BMW Smorawiński
Strona internetowa marki BMW.
4F - sklep internetowy
Oficjalny sklep internetowy marki 4F.
MikaHome
Unikatowe akcesoria do wystroju domu.
MAER
Sklep RWD z akcesoriami Off-Road.
Hurtownia rolnicza AgroBis
Części do ciągników i maszyn rolniczych
BOPSS
Sklep oferujący opony i felgi samochodowe.
Wydawnictwo Pascal
Księgarnia internetowa dla Wydawnictwa Pascal.
PepeStore
Sklep RWD z odzieżą PepeJeans.
KiddyFave
Akcesoria dla dzieci i młodzieży.

Sklep internetowy, a rejestracja w GIODO

 

Mogłoby się wydawać, że sprzedawcy internetowi są coraz bardziej świadomi tego, jak ważne dla ich działalności są podstawowe zabezpieczenia strony: m.in. bezpieczny i stabilny serwer, oraz certyfikat SSL. Wciąż jednak wielu z nich zapomina lub ignoruje kwestie ochrony danych osobowych swoich kontrahentów.

Niniejszy poradnik ma odpowiedzieć na pytanie, czy bazę danych sklepu internetowego należy zgłaszać do rejestru Generalnego Inspektora Ochrony Danych Osobowych (GIODO), a jeśli tak, to czy możliwe są jakieś wyjątki od tej reguły.

 

Co na ten temat mówi prawo...?

Podstawą prawną do ochrony danych osobowych jest Konstytucja RP, oraz Ustawa z dnia 29 sierpnia 1997 r. O Ochronie Danych Osobowych (w skrócie: UODO). Należałoby zacząć od ustalenia tego czym właściwie są dane osobowe. Stosunkowo jasno tłumaczy to art. 6 Ustawy:

1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

 

Po lekturze art. 6 Ustawy wiemy już, że dane osobowe to informacje, po których bezpośrednio lub pośrednio można zidentyfikować konkretną osobę. Sytuacja jest więc jasna w przypadku, gdy posługujemy się takimi danymi jak imię, nazwisko, adres, czy numer PESEL, ale co z w przypadku danych takich jak np. adres e-mail? Aby odpowiedzieć na to pytanie należy tutaj wyróżnić dwie sytuacje...

Daną osobową jest adres typu: imie.nazwisko@nazwadomeny.pl, gdyż zawiera on imię i nazwisko swojego właściciela. Natomiast adres e-mail taki jak qwerty123@nazwadomeny.pl w zasadzie nie wchodzi w skład danych osobowych - należy jednak wziąć pod uwagę, że przy jego użyciu można odnaleźć i zidentyfikować konkretną osobę np. w wyszukiwarce Google lub serwisach społecznościowych. Mamy tutaj do czynienia z sytuacją pośredniej identyfikacji w związku z czym, ten z pozoru nic nie znaczący adres e-mail, staje się informacją podlegającą ochronie.

 

Dla lepszego zrozumienia dalszej części artykułu warto pokrótce zdefiniować także czym jest zbiór danych osobowych. W art. 7 Ustawy znajdziemy następujący zapis:

 

„rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”

 

Ostatnia kwestia jaką należy wyjaśnić to pojęcie przetwarzania danych osobowych. Mianem tym określa się jakiekolwiek operacje wykonywane na danych osobowych. Może być to ich zbieranie, utrwalanie, przechowywanie, udostępnianie, usuwanie itd. Przykładem przetwarzania danych może być ich zbieranie i przechowywanie w celu realizacji umowy, udostępnianie kurierowi w celu wysyłki zamówienia, przechowywanie w celach marketingowych, do wysyłki newslettera, lub do prowadzenia statystyk. Sytuacje, w których można przetwarzać dane osobowe ściśle określa prawo. Listę takich sytuacji znajdziemy w art. 23 Ustawy.

 

W jakiej sytuacji należy zarejestrować bazę sklepu w GIODO?

Zasadniczą kwestią do rozważenia są różne interpretacje art. 43, ust. 1, pkt. 8. Znajduje się w nim zapis mówiący o tym, że zbiór nie musi być rejestrowany, gdy pobrane dane są wykorzystywane „wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej”. Według badań przeprowadzonych przez SafeBuy.pl i Sklepy24.pl nawet 35% sprzedawców internetowych w Polsce, uważa że nie ma potrzeby rejestracji bazy danych sklepu w GIODO właśnie ze względu na ten wskazany wyżej wyjątek.

Tymczasem funkcje sklepu internetowego wykraczają poza tą charakterystykę. Zauważmy, że zgromadzone w e-sklepie dane osobowe mają szersze zastosowanie, gdyż są wykorzystywane np. do zawarcia wiążącej umowy sprzedaży, czy też dostarczenia przesyłki pod podany adres. W tym drugim przypadku mamy do czynienia z sytuacją przekazywania danych osobowych (np. firmie kurierskiej).

Dane osobowe przede wszystkim są jednak gromadzone, przechowywane i utrwalane w bazie danych sklepu, co jest najważniejszym czynnikiem kwalifikującym taki zbiór do rejestracji. Według GIODO już sam fakt zaistnienia bazy danych sklepu internetowego powoduje konieczność rejestracji:

 

"(...) Baza klientów sklepu internetowego stanowi zbiór danych w rozumieniu ustawy o ochronie danych osobowych, który powinien zostać zgłoszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (...)" Źródło: http://www.giodo.gov.pl/330/id_art/3489/j/pl/

 

Co więcej, baza danych osobowych którą dysponujemy w sklepie internetowym, może wcale nie oznaczać jednego zbioru danych. W zależności od charakterystyki danych i celu, dla którego się je przetwarza może wystąpić potrzeba podziału danych na różne zbiory, które będą podlegać osobnej rejestracji w GIODO. Przykładowo: baza kontrahentów składających zamówienia w sklepie ma inne zastosowanie, niż baza klientów, którzy zapisali się do subskrypcji newslettera.

Sklep internetowy zatem ma obowiązek zarejestrować bazę danych, a obowiązek ten powstaje w momencie poprzedzającym rozpoczęcie przetwarzania danych. Należy pamiętać, że niezarejestrowanie w GIODO bazy, która spełnia kryteria rejestracji może (w najlepszym wypadku) skończyć się karą grzywny (więcej art. 53 ustawy).

 

W art. 43 ust. 1 Ustawy możemy znaleźć listę wyjątków od obowiązku rejestracji bazy danych. Sprzedawców internetowych szczególnie może zainteresować ust. 1A w art. 43. Obwiązująca od 1 stycznia 2015 zmiana w przepisach zwalnia sprzedawcę z konieczności rejestracji bazy danych, w przypadku powołania Administratora Bezpieczeństwa Informacji (ABI):

 

„Obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1, nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji, z zastrzeżeniem art. 46e ust. 2.”

 

ABI jest powoływany przez Administratora Danych Osobowych, czyli właściciela sklepu. Podstawową jego funkcją jest zapewnianie przestrzegania przepisów o ochronie danych osobowych, oraz kontrola tego czy dane są przetwarzane zgodnie z prawem. ABI prowadzi również dokumentację związaną z ochroną danych osobowych i przeprowadza szkolenia osób, które mają dostęp do danych osobowych. Funkcję ABI może pełnić sam właściciel sklepu - wymagane jest jednak jego odpowiednie przeszkolenie. ABI musi zostać zgłoszony do rejestru GIODO.

 

W jaki sposób zarejestrować bazę w rejestrze GIODO

Zgłoszenia bazy dokonuje Administrator Danych Osobowych. Sama rejestracja bazy danych w GIODO jest bezpłatna, jednak opłacie skarbowej w wysokości kilkunastu złotych podlega wydanie zaświadczenia. We wniosku nie podaje się żadnych danych osobowych klientów, ani ilości rekordów bazy. Określa się tylko jej charakterystykę, oraz cel i zakres przetwarzania danych. Należy określić także podstawy prawne, oraz wymogi formalne i techniczne co do przetwarzania danych osobowych.

 

Wniosek można złożyć na trzy sposoby:

- wysyłając go pocztą lub dostarczając osobiście na adres Biura Generalnego Inspektora Ochrony Danych Osobowych w Warszawie

- drogą elektroniczną z użyciem podpisu elektronicznego

- drogą elektroniczną bez użycia podpisu elektronicznego poprzez specjalny formularz na stronie e-giodo: https://egiodo.giodo.gov.pl/formular_step0.dhtml

W celu zgłoszenia bazy danych do rejestru GIODO należy także wypełnić formularz rejestracyjny, który stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 229, poz. 1536).

Cały proces rejestracji bazy danych sklepu jest szczegółowo opisany w poradniku na stronie GIODO: http://www.giodo.gov.pl/1520227/j/pl/

 

Powołujemy ABI

W sytuacji kiedy zdecydujemy się na powołanie Administratora Bezpieczeństwa Informacji musimy również dokonać zgłoszenia do GIODO na specjalnym wniosku. Jego wzór został określony w rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz.U. 2014 poz. 1934).

Wniosek jest stosunkowo prosty i składa się z trzech części:

- oznaczenie administratora danych (wnioskodawca)

- wskazanie osoby która staje się administratorem bezpieczeństwa informacji wraz datą powołania

- oświadczenie o spełnianiu przez ABI wymogów prawnych takich jak m.in. pełna zdolność do czynności prawnych oraz korzystania z praw publicznych, czy odpowiednia wiedza w zakresie ochrony danych osobowych

Korzystając z prawa do powołania ABI pamiętajmy o tym, że osoba pełniąca taką funkcję musi być należycie przeszkolona do jej wykonywania. Dalsza procedura rejestracji wygląda podobnie jak w przypadku bazy danych. Całość procesu rejestracji wraz z niezbędnymi informacjami jest opisana w poradniku GIODO: http://www.giodo.gov.pl/1520229/j/pl/

 

Kwestia ochrony danych osobowych często budzi wątpliwości, które ustępują dopiero po rozwinięciu potocznie rozumianych pojęć, oraz poznaniu prawidłowej interpretacji przepisów prawa. Analiza Ustawy daje stosunkowo jasną odpowiedź co do konieczności rejestracji bazy danych w GIODO. Jednak sama rejestracja to nie wszystko - równia ważna jest odpowiednia administracja zbiorami danych i ich należyta ochrona. Dopiero przestrzeganie wymogów bezpieczeństwa i spełnienie wymogów informacyjnych wobec klientów sklepu pozwala na odpowiedzialne i zgodne z prawem prowadzenie sprzedaży w Internecie.

 

Podobne artykuły:

Wydrukuj

szablony.phpintegracje,30,126.htmsynchronizator_bestseller,0,140.htm

pytania@infoserwis.org

tel. 61 832 45 80
 tel./fax 61 832 61 37

 
Systemy zintegrowane ze sklepem internetowym BestSeller

InfoSerwis - obsługa informatyczna przedsiębiorstw
ul. Winogrady 60, 61-659 Poznań
tel.: 061 832 45 80, tel./fax.: 061 832 61 37
biuro@infoserwis.org