Sklep internetowy a GIODO, najważniejsze pytania i odpowiedzi

16.02.2017 AUTOR: Joanna Wójcik

Prowadzisz sklep internetowy lub świadczysz innego typu usługi w sieci i przechowujesz dane osobowe swoich klientów? Nie masz pewności, które informacje stanowią dane osobowe, a które nie i nie należy ich zgłaszać do GIODO?

W tym kompletnym poradniku zebraliśmy najważniejsze informacje na temat tego, czym są dane osobowe, kiedy i w jakiej formie musisz zgłosić swoje zbiory danych do Giodo oraz jakie możesz ponieść konsekwencje jeśli tego nie dopilnujesz.

Jakie informacje stanowią dane osobowe?

To czym są dane osobowe reguluje w Polsce ustawa z dnia 29 sierpnia 1997 o ochronie danych osobowych. Są to wszystkie informacje, które bez ponoszenia nadmiernych kosztów oraz inwestycji nadmiernych ilości czasu i podjęcia nadzwyczajnych działań pozwalają na identyfikację danej osoby fizycznej.

Dane o dużym stopniu ogólności, mogące wskazywać np. na kilku osób jednocześnie, jak sam adres zamieszkania, nie będą danymi osobowymi. Staną się nimi dopiero, gdy zostaną zestawione z innymi informacjami o konkretnej osobie, które pozwolą na jej bezpośrednią identyfikację.

Przykładami danych osobowych, z którymi spotkasz się prowadząc sklep internetowy lub mając kontakt z danymi klientów offline są więc, m.in:.

  • imię i nazwisko,
  • adres email,
  • zdjęcie.

Jeśli masz do czynienia w jakikolwiek sposób z tak rozumianymi danymi osobowymi klientów, masz obowiązek zgłosić do Generalnego Inspektoratu Ochrony Danych Osobowych (GIODO) fakt ich posiadania oraz przetwarzania.

O tym czy dany zbiór informacji jest zbiorem danych osobowych i musisz go zgłaszać decyduje to czy:

  • zawiera on dane osób fizycznych,
  • posiada strukturę,
  • umożliwia wyszukiwanie na podstawie co najmniej dwóch różnych kryteriów.

Biorąc to pod uwagę, musisz również wiedzieć, że nawet dane dotyczące tylko jednej osoby stanowią zbiór danych osobowych i podlegają zgłoszeniu. Dopiero po zgłoszeniu zbioru do GIODO, możesz pełnoprawnie zacząć przetwarzać zawarte w nim dane.

Niestety nasz ustawodawca nie określa zamkniętego katalogu informacji, które należy uznawać za dane osobowe. Dlatego też, w razie niepewności co do tego faktu, bezpieczniej jest zgłosić dany zbiór do GIODO i jeśli nie będzie on podlegać ustawowemu obowiązkowi, urząd odmówi jego rejestracji i poinformuje Cię o tym.

Brak obowiązku rejestracyjnego – jakie dane nie podlegają rejestracji w GIODO?

Rejestracji nie podlegają m.in. te zbiory danych, które:

  • są przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej – warto zwrócić uwagę, że dotyczy to tylko np. firm, z którymi prowadzisz współpracę a nie klientów, do których wysyłasz paczkę pocztą,
  • zawierają informacje niejawne,
  • dotyczą osób korzystających z usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta będących administratorami zbioru danych,
  • są przetwarzane w zakresie drobnych bieżących spraw życia codziennego.

Jakie są konsekwencje jeśli nie zgłoszę bazy do Giodo?

Zaniechanie obowiązku w zakresie rejestracji zbioru danych osobowych zagrożone jest karą grzywny, ograniczenia wolności, a nawet pozbawienia wolności do jednego roku. Maksymalna kara dla Ciebie jako osoby prowadzącej działalność gospodarczą może wynieść w takim przypadku do 50 tysięcy złotych.

Jak wypełnić wniosek do GIODO i kiedy go złożyć?

Przede wszystkim warto wiedzieć, że zbiory danych osobowych należy zarejestrować przed rozpoczęciem danej działalności a informacje dotyczące zmian w jej obrębie na bieżąco w toku jej prowadzenia. Jest to bezpłatna i mało skomplikowana procedura, którą można przeprowadzić:

  1. wysyłając wypełniony wniosek listem poleconym, w celu otrzymania dowodu nadania, na adres biura GIODO przy ul. Stawki 2, 00-193 w Warszawie,
  2. składając go pod ww adresem osobiście, wraz z egzemplarzem do otrzymania prezentaty, czyli pisemnego potwierdzenia dalszego rozpatrywania,
  3. drogą elektroniczną, za pośrednictwem „Elektronicznej platformy komunikacji z Generalnym Inspektorem Ochrony Danych Osobowych” (E-Giodo), wymaga to posiadania tzw. podpisu elektronicznego.

Zanim zarejestrujesz zbiory danych osobowych w GIODO

Pamiętaj, że aktywność formularza udostępnianego przez GIODO jest ograniczona w czasie i gdy nagle przerwiesz jego wypełnianie, utracisz wprowadzone wcześniej zmiany.

Zanim zaczniesz wypełniać własny wniosek i złożysz go w GIODO, musisz spełnić jeszcze określone poniżej warunki i przygotować niezbędne dokumenty. Ułatwi Ci to wypełnienie wniosku, które nie zajmie wtedy więcej niż kilkanaście minut.

Przygotuj:

  1. Umowę powierzenia danych osobowych – zawierasz ją z dostawcą oprogramowania Twojego sklepu internetowego. Jeśli nabyłeś oprogramowanie na własność i osobno hosting w innej firmie, niż dostawca oprogramowania sklepu – zawrzyj ją z firmą hostingową. W obu przypadkach wnioski znajdziesz na stronie www dostawcy lub kontaktując się z nim bezpośrednio. To samo dotyczy, np. firmy, która świadczy dla Ciebie usługi Call Center i przekazujesz jej dane osobowe klientów.
  2. Politykę bezpieczeństwa danych osobowych w Twoim sklepie internetowym (tutaj znajdziesz wskazówki GIODO jak ją przygotować).
  3. Instrukcję zarządzania systemem informatycznym (tutaj znajdziesz wskazówki GIODO jak ją przygotować).
  4. Dane firm, z którymi będziesz współpracować (nazwy i siedziby) i będą one mieć kontakt z danymi osobowymi Twoich klientów, jak np. dostawca oprogramowania do email marketingu, czy Poczta Polska.
  5. Informacje dotyczące stosowanych w Twoim sklepie zabezpieczeń przy przechowywaniu danych.

Wypełnianie wniosku o rejestrację zbioru danych osobowych w GIODO krok po kroku

Wejdź pod adres e-giodo i wypełnij wniosek zgodnie z poniższą instrukcją:

1. Sekcja A0

Pierwszy checkbox zaznaczasz, jeśli nie będziesz przetwarzać tzw. danych wrażliwych, np. informacji dotyczących stanu zdrowia czy wyznania klientów.

Drugi checkbox zaznaczasz tylko jeśli warunki na jakich przetwarzasz dane osobowe się zmieniły i zgłaszasz zmianę.

Trzeci checkbox zaznaczasz, jeśli będziesz przetwarzać tzw. dane wrażliwe.

2. Sekcja B1 część A

Nazwij swój zbiór danych w łatwy do sklasyfikowania sposób, np. klienci sklepu internetowego XYZ.

3. Sekcja B1 część B

Uzupełnij dane swojej firmy, gdyż Ty jesteś wnioskującym i jednocześnie administratorem danych.

4. Sekcja B2

Wypełnia się ją tylko wtedy, gdy dana firma ma siedzibę w państwie, które nie należy do Europejskiego Obszaru Gospodarczego. Sekcję wypełnia jej przedstawiciel.

5. Sekcja B3

Jeśli już przekazałeś innym podmiotom przetwarzanie danych osobowych Twoich klientów albo planujesz zrobić to w przyszłości, zaznacz odpowiedni checkbox.

W przypadku, gdy już powierzyłeś przetwarzanie danych innemu podmiotowi uzupełnij jego dane.

5. Sekcja B4

W przypadku sklepu internetowego zaznaczasz checkboxy:

  • Pierwszy – ponieważ Twoi klienci wyrazili zgodę, np. na otrzymywanie od Ciebie newslettera,
  • Trzeci – dotyczy, np. wysyłki do klienta zamówionego towaru,
  • Piąty – dotyczy, np. wystawienia faktury w programie księgowym.

5. Sekcja C5

Wpisz, na przykład:

  • Realizacja zamówień składanych w sklepie internetowym,
  • Korespondencja związana ze złożonymi zamówieniami,
  • Obsługa reklamacji,
  • Wystawienie faktury,
  • Wysyłka wiadomości promocyjnych w formie newslettera.

6. Sekcja C6

Wpisz, na przykład:

  • Klienci sklepu,
  • Osoby zainteresowane ofertą sklepu.

7. Sekcja C7

W tej sekcji warto zaznaczyć:

  • Nazwiska i imiona,
  • Adres zamieszkania lub pobytu,
  • Datę urodzenia (na wypadek wysyłek prezentów z okazji urodzin klienta),
  • Numer telefonu.

8. Sekcja C8

W przypadku sklepu internetowego warto podać:

  • Adres email,
  • Adres IP.

9. Sekcja C9

Pomijasz tę sekcję i nic nie zaznaczasz, chyba że gromadzisz poniższe dane wrażliwe. Aplikacja automatycznie przekieruje Cię do Sekcji D11.

10. Sekcja D11

Zaznacz pierwszy checkbox: od osób, których dotyczą i checkbox drugi jeśli zamierzasz, np. w legalny sposób przeprowadzić wysyłkę reklamową do bazy zewnętrznej.

11. Sekcja D12

Z dużym prawdopodobieństwem będziesz przekazywać dane swoich klientów, np dostawcy usług email marketingowych. Zaznacz więc checkbox w tej sekcji, gdyż taka możliwość wynika ze zgody klienta a nie konkretnego zapisu prawnego.

12. Sekcja D13

Wpisz nazwy i adresy firm, z którymi będziesz współpracować jeśli chodzi o przetwarzanie danych Twoich klientów zgodnie z informacjami, które przygotowałeś przed wypełnieniem wniosku.

13. Sekcja D14

Uzupełnij pole zgodnie ze stanem faktycznym, zwróć uwagę, że korzystając np. z systemu do email marketingu MailChimp, masz do czynienia z firmą z kraju trzeciego, czyli spoza Europejskiego Obszaru Gospodarczego.

14. Sekcja E15a

Jeśli posiadasz jedną siedzibę firmy i nie przetwarzasz w żaden sposób danych klientów elektronicznie zaznacz opcję Centralnie, jest to jednak bardzo rzadki przypadek i nie dotyczy sklepu internetowego.

Natomiast jeśli prowadzisz elektroniczną obsługę klientów, wybierz opcję w architekturze rozproszonej.

15. Sekcja E15b

Zaznacz drugi checkbox.

16. Sekcja E15c

Zaznacz pierwszy checkbox.

17. Sekcja E16

Uzupełnij tę sekcję zgodnie zgodnie ze stanem faktycznym, jednak pewne zabezpieczenia są wymuszone prawnie, powinieneś więc:

Punkt a 

Jeśli samodzielnie prowadzisz firmę i nie wyznaczyłeś Administratora Bezpieczeństwa Informacji, jesteś nim Ty sam, zaznacz checkbox drugi:

– administrator danych sam wykonuje czynności administratora bezpieczeństwa informacji.

Jeśli, np. Twoja spółka może być reprezentowana przez każdego członka zarządu, których jest kilku, Twoja firma musi wyznaczyć z imienia i nazwiska osobę, która będzie administratorem i zaznacz wówczas checkbox pierwszy.

Punkt b

Zaznacz checkbox

Punkt c

Zaznacz checkbox

Punkt d

Zaznacz checkbox

Punkt e

Zaznacz checkbox

Punkt f

  • środki ochrony fizycznej danych – zaznacz zgodnie z prawdą,
  • środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej – zaznacz zgodnie z prawdą,
  • środki ochrony w ramach narzędzi programowych i baz danych – zaznacz zgodnie z prawdą,
  • środki organizacyjne – zaznacz zgodnie z prawdą.

18. Sekcja F17

W przypadku sklepu internetowego musisz zaznaczyć checkbox trzeci.

19. Sekcja F18

Podaj swój adres e-mail, jako administratora danych. Przesłanie załączników ma miejsce tylko w przypadku spółek z szerszą reprezentacją, gdyż wymagane jest wtedy potwierdzenie uprawnień tej osoby do reprezentowania spółki.

Jeśli posiadasz podpis elektroniczny

Podpisz go odpowiednim certyfikatem i wybierz opcję wysyłki.

Jeśli nie posiadasz podpisu elektronicznego

Zaznacz checkbox rezygnacji z doręczania pism za pomocą środków komunikacji elektronicznej, gdyż nie miałbyś możliwości ich odbioru. Wydrukuj wniosek i wyślij go do GIODO.

Myśląc o ochronie danych osobowych swoich klientów, warto również pamiętać, że 25 maja 2018 r. w życie wejdzie wydane przez Parlament Europejski i Radę Unii Europejskiej Rozporządzenie o ochronie danych osobowych, dużo lepiej dostosowane do obecnych realiów pozyskiwania i przetwarzania danych osobowych. Zastąpi ono obecną polską ustawę o ochronie danych osobowych z 1997 roku.
Główną zmianą jakie niesie za sobą nowe rozporządzenie będzie obowiązek planowania ochrony danych osobowych klientów już momencie projektowania danej usługi czy modelu biznesowego (zwłaszcza w przypadku przedsiębiorstw korzystających z tzw. systemów Big Data). Dodatkowo znacznie zwiększą się kary za nieprzestrzeganie jego zapisów, będzie to do 20 mln euro, a w przypadku przedsiębiorstwa nawet do 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Czytaj również: 

60% e-sklepów nie spełnia wymogów prawnych

5 rzeczy, o których według prawnika musisz pamiętać decydując się na start z własnym biznesem

6 rzeczy, o których musisz pamiętać wysyłając zgodny z prawem newsletter

Do góry!

Polecane artykuły

04.12.2019

Pakiety Kurierskie dla ...

Głodny wiedzy? Zapraszamy do sklepu z kursami i ebookami

Sprawdzam