Prowadząc sklep internetowy zbierasz od swoich klientów dane osobowe – np. w celu dostarczenia im produktu. Musisz w takim razie wiedzieć, że przetwarzanie takich danych (czyli wykorzystywanie ich w określonym celu) chronione jest odpowiednimi przepisami prawa, a co za tym idzie – nakładają na Ciebie szczególne obowiązki, które omawiamy w poniższym artykule.
Partnerem lekcji jest: Prokonsumencki.pl
Dziś dowiesz się:
– Czym są dane osobowe?
– Kim jest Administrator Danych Osobowych i Administrator Bezpieczeństwa Informacja, oraz co różni te stanowiska?
– Co należy zgłosić w GIODO?
– Jak w prawidłowy sposób spełnić obowiązki związane z GIODO?
– Jakie kary grożą za niedopełnienie obowiązków związanych z przetwarzaniem danych osobowych?
Na początek – czym właściwie są dane osobowe?
Powyższe pytanie wydaje się banalne – w końcu każdy z nas ma swoje dane osobowe, czyli imię i nazwisko, którymi się przedstawiamy i legitymujemy. Nie oznacza to jednak, że danymi osobowymi są tylko informacje zawarte w naszym dowodzie osobistym. Zgodnie z ustawą o ochronie danych osobowych, za dane osobowe uznamy wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Ważny jest tutaj sam sposób umożliwiający identyfikację – nie może on wymagać nadmiernych kosztów, czasu i działań. O ile więc numer telefonu, który po wpisaniu w wyszukiwarkę internetową powiązany będzie z konkretną osobą (która np. poda go jako swój numer kontaktowy) uznany zostanie za dane osobowe, tak już np. zapisane inicjały które będą wymagały analizy grafologicznej – nie.
Przykładowe dane osobowe, jakie przetwarza sklep internetowy w celu realizacji zamówienia to między innymi:
- imię i nazwisko
- nazwa firmy
- adres e-mail
- adres zamawiającego
- adres dostawy
- numer telefonu
- NIP
- adres IP
Kto przetwarza dane osobowe?
Najważniejszą osobą w firmie pod względem przetwarzania danych jest Administrator Danych Osobowych (w skrócie – ADO), czyli organ, jednostka organizacyjna, podmiot lub osoba decydujące o celach i środkach przetwarzania danych osobowych.
Mówiąc najprościej – ADO to najczęściej właściciel firmy (w przypadku działalności jednoosobowych) lub cała spółka (np. w przypadku spółek prawa handlowego).
To właśnie ADO odpowiada w pierwszej kolejności za prawidłowe przetwarzanie danych, zachowanie odpowiednich procedur i kontrolę nad osobami, które do danych mają dostęp.
Część ze swoich obowiązków ADO może powierzyć ABIemu (Administratorowi Bezpieczeństwa Informacji) – wyjaśnimy to dokładniej w dalszej części tekstu.
W jaki sposób przetwarzamy dane osobowe w sklepie internetowym?
Dane udostępniane nam przez klientów wykorzystujemy w określonym celu, jak np. wspomniana wcześniej realizacja zamówienia. Oprócz tego możemy np. wysyłać newsletter, prowadzić akcje marketingowe czy program lojalnościowy. W każdym z tych wypadków korzystać będziemy z określonego zbioru danych osobowych, który z definicji rozumiemy jako:
(…) każdy posiadający strukturę zestaw danych i charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
Ustawa o ochronie danych osobowych, Art. 7, ust. 1
Poszczególne zbiory danych będziemy więc wyróżniać na podstawie celu przetwarzania danych w nich zawartych. Prawidłowe określenie rodzaju zbiorów jest bardzo ważne, ponieważ to właśnie zbiory (a nie same dane!) podlegają zgłoszeniu w GIODO.
Pamiętajmy, że każdorazowo powinniśmy uzyskać od klienta zgodę na przetwarzanie jego danych w określonym celu. Co istotne – zgoda taka powinna być wyraźna i nie może być dorozumiana – czyli nie możemy np. określić w regulaminie sklepu, że klient składając zamówienie wyraża zgodę na przesyłanie na jego adres email newslettera – taka zgoda musi być udzielona osobno!
Czy każdy zbiór podlega zgłoszeniu w GIODO?
Wyobraźmy sobie sytuację z życia codziennego – oddajemy płaszcz do pralni, a jej pracownik wydaje nam pokwitowanie, na którym wpisane jest nasz imię i nazwisko, rodzaj płaszcza i data odbioru. Kopię pokwitowania zostaje zatrzymana przez pralnię.
Czy w takim razie właściciel pralni ma obowiązek zgłosić zbiór danych osobowych swoich klientów do GIODO?
Nie!
Dlaczego?
Ponieważ w niektórych wypadkach zbiory zwolnione są z obowiązku rejestracji. Tego rodzaju wyjątki opisano w artykule 43 ustawy o ochronie danych osobowych i dotyczą między innymi sytuacji, w których zbiory są:
- Przetwarzane tylko w zakresie drobnych bieżących spraw życia codziennego (jak np. skorzystanie z usług pralni. Pamiętajmy jednak – realizacja zamówienia w sklepie internetowym wykracza poza bieżącą sprawę życia codziennego!)
- Przetwarzane w związku z zatrudnieniem pracowników przez Administratora danych osobowych, świadczeniem mu usług na podstawie umów cywilnoprawnych, a także dotyczących osób zrzeszonych (np. dla stowarzyszeń) lub uczących się (np. przy praktykach zawodowych).
- Przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej.
Jak zgłosić zbiór danych osobowych?
Administrator Danych Osobowych, który przetwarza zbiór danych osobowych jest zobowiązany do jego zarejestrowania Generalnemu Inspektorowi Ochrony Danych Osobowych (z pominięciem sytuacji, o których mowa powyżej i pozostałych wyjątków określonych w Art. 43 ust 1 i 1a Ustawy o ochronie danych osobowych), chyba że powołał w swojej firmie ABIego (wtedy zgłasza w urzędzie tylko ten fakt).
Wymogi prawne związane z rejestracją możemy więc spełnić w dwojaki sposób:
- Poprzez zgłoszenie baz danych osobowych – do czego należy wykorzystać wzory wniosków, które udostępnia GIODO.
- Przez powołanie Administratora Bezpieczeństwa Informacji i zgłoszenie go w GIODO. W tym wypadku nie zgłaszamy poszczególnych zbiorów, jednak ABI jest zobowiązany do prowadzenia ich rejestru wewnątrz firmy.
- Co ważne – w przypadku działalności jednoosobowych właściciel automatycznie uznawany jest za ADO, przez co nie może powołać na stanowisko ABIego samego siebie!
Sama rejestracja to nie wszystko!
Przepisy ochrony danych osobowych mają przede wszystkim na celu zapewnić należyty poziom zabezpieczenia danych, przez stosowanie odpowiednich rozwiązań systemowych i procedur. Aby prawidłowo zgłosić zbiory danych lub powołanie ABIego w GIODO, każda firma powinna opracować i wdrożyć odpowiednie dokumenty, którymi będą:
- Polityka bezpieczeństwa
Czyli zbiór wewnętrznych reguł związanych z przetwarzaniem danych osobowych obowiązujących u danego administratora danych osobowych, wraz z informacją o rodzaju zbiorów i przetwarzanych w nich danych, stosowanych zabezpieczeniach czy podmiotach, którym dane mogą być powierzane i udostępniane. - Instrukcja zarządzania systemem informatycznym
W której odniesiemy się bezpośrednio do systemów służących do przetwarzania danych, tworzenia kopii zapasowych, nadawania dostępów i innych informacji, związanych z informatyczną stroną przetwarzania danych.
Z opisanymi w Polityce i Instrukcji procedurami należy zapoznać pracowników i dodatkowo podpisać z nimi Upoważnienie do przetwarzania danych, oświadczenie o zapoznaniu się z obowiązującymi w firmie procedurami i wpisać taką informację do Ewidencji osób upoważnionych do przetwarzania danych.
Co grozi za niedopełnienie obowiązków rejestracji baz danych / powołania ABIego?
Urząd Generalnego Inspektora Ochrony Danych Osobowych uprawniony jest do przeprowadzenia niezapowiedzianej kontroli, w ramach której sprawdzone zostanie wdrożenie odpowiednich procedur przetwarzania danych i posiadanie właściwej dokumentacji. Przedsiębiorca, który nie dopełni obowiązku rejestracji, nie posiada odpowiedniej dokumentacji lub będzie przetwarzał dane niezgodnie z opisanymi w niej procedurami, naraża się na odpowiedzialność karną z tytułu:
Art.53. [Niezgłoszenie zbioru danych do rejestracji]
Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art.54. [Niepoinformowanie o prawach osoby, której dane są przetwarzane]
Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
To, czy wymogi zostały spełnione sprawdzić może zarówno Państwowa Inspekcja Pracy i samo GIODO.
Spełnienie obowiązków wobec GIODO krok po kroku
Poniżej przedstawiamy przykładową, prawidłową procedurę dopełnienia obowiązków związanych z przetwarzaniem danych osobowych. Należy pamiętać jednak, że jest ona zależna od wielu czynników, jak struktura danej firmy, rodzaj przetwarzanych danych, zatrudnianie pracowników itp.
- W pierwszej kolejności należy ustalić kto jest Administratorem Danych Osobowych:
w przypadku działalności jednoosobowych – właściciel firmy,
w przypadku spółek prawa handlowego – sama spółka. - Następnie rozpoznajemy rodzaje zbiorów, w jakich przetwarzamy dane.
- Kolejnym etapem jest opracowanie i wdrożenie odpowiednich procedur, związanych z przetwarzaniem danych w systemie informatycznym (tutaj warto posłużyć się rozporządzeniem MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych). Na tym etapie określamy również, czy zamierzamy zgłosić bazy danych czy powołać ABIego.
- Teraz przychodzi czas na stworzenie Polityki bezpieczeństwa i instrukcji zarządzania system informatycznym, podpisanie umów powierzenia danych osobowych (z firmami, którym powierzamy dane naszych klientów – np. z hostingodawcą, biurem księgowym, kurierami itp.).
- Z dokumentacją należy zapoznać pracowników i podpisać z nimi upoważnienie do przetwarzania danych i wprowadzić taką informację do Ewidencji osób upoważnionych do przetwarzania danych.
- Jeśli powołaliśmy ABIego zgłaszamy ten fakt w GIODO (w ciągu 30 dni od jego powołania).
- Jeśli nie powołaliśmy ABIego przygotowujemy zgłoszenia zbiorów danych osobowych. Możemy to zrobić przy pomocy formularza na stronie GIODO – należy przy tym pamiętać, że zgłoszenie przygotowujemy dla każdego zbioru, który nie podlega zwolnieniu z rejestracji na podstawie Art. 43. Ustawy o ochronie danych.
- Po przesłaniu do urzędu wniosków zgłoszeniowych lub informacji o powołaniu ABIego, wdrożeniu wszystkich procedur, podpisaniu umów powierzenia, upoważnienia do przetwarzania danych i uzupełnieniu ewidencji osób upoważnionych pozostaje nam jedynie czekać na akceptację ze strony urzędu i nadanie numeru rejestracyjnego.