Zbiór danych osobowych i obowiązek jego rejestracji przez e-sklep

Wiele osób, które otwiera sklep internetowy zmaga się z pytaniem, czy konieczna jest rejestracja zbioru danych osobowych do GIODO (Generalnego Inspektora Ochrony Danych Osobowych). Zgodnie z art. 43 ust. 1 pkt 8 ustawy o ochronie danych osobowych nie podlegają rejestracji zbiory danych zawierające dane osobowe przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Zgodnie ze stanowiskiem reprezentowanym przez GIODO przepis ten powinien być interpretowany ściśle. Z obowiązku rejestracyjnego będzie zwolniony tylko taki zbiór danych osobowych, który zostały utworzony wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Jeżeli dane osobowe przetwarzane są jeszcze w celu marketingowym, zbiór danych osobowych powinien zostać zgłoszony do rejestracji na zasadach ogólnych.

Do wystawienia faktury czy rachunku są potrzebne dane takie jak: imię i nazwisko, firma/nazwa, adres, NIP. Sklepy internetowe często wymagają rejestracji, przy której żądają podania szerszego katalogu informacji dotyczących klienta. Nawet gdy dany sklep nie wymaga rejestracji, to do wysyłki towaru potrzebujemy dodatkowo adresu e-mail, numeru telefonu itp. Zakres danych więc znacznie przekracza listę danych osobowych potrzebnych do wystawienia faktury. Dlatego też sklep internetowy nie ucieknie od obowiązku rejestracji zbioru danych osobowych swoich klientów. Ponadto podlega zgłoszeniu do rejestracji zbiór danych osobowych klientów gromadzonych w związku z prowadzeniem postępowania reklamacyjnego (wyrok NSA z 21.04.2006 r., OSK 726/05).

Zbiór danych osobowych - obowiązkowa rejestracja do GIODO 

1 stycznia 2015 roku weszła w życie ustawa z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej, która znowelizowała ustawę o ochronie danych osobowych. Najważniejsze zmiany objęły regulację dotyczącą administratora bezpieczeństwa informacji (ABI). W przypadku, gdy administrator danych osobowych powołał ABI-ego i zgłosił go do rejestru prowadzonego przez GIODO, taki administrator staje się wówczas zwolniony z obowiązku rejestracji zbiorów danych osobowych. W strukturze organizacyjnej administratora danych, ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Co to oznacza w przypadku sklepów internetowych? Administratorem danych jest zazwyczaj właściciel sklepu internetowego, a w przypadku spółek członkowie zarządu/prezesi. Podmioty te będą uprawnione do kontroli oraz wydawania wiążących poleceń ABI-emu. Powołanie ABI-ego jest uprawnieniem, a nie obowiązkiem administratora danych. W przypadku niepowołania ABI-ego, jego zadania wykonuje sam administrator danych.

Zadania Administratora Bezpieczeństwa Informacji (ABI)

Administrator bezpieczeństwa informacji powinien zostać wyznaczony przed rozpoczęciem przetwarzania danych osobowych. Co należy do jego obowiązków?

  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych,

  • sporządzanie dokumentacji dotyczącej ochrony danych osobowych,

  • zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
  • dokonywanie sprawdzeń na polecenie GIODO.

ABI ma także obowiązek stałego monitorowania procesów przetwarzania danych osobowych pod kątem ich zgodności z przepisami o ochronie danych osobowych. W przypadku stwierdzenia jakichkolwiek nieprawidłowości powinien on to zgłosić do administratora danych. Jest to związane z koniecznością przygotowania przez ABI-ego sprawozdania dla administratora danych.

Kiedy powołanie ABI-ego nie jest wystarczające?

Zwolnienie nie dotyczy jednak tych zbiorów danych osobowych, w których przetwarzane są dane osobowe wrażliwe. Co oznacza, że nawet gdy powołaliśmy ABI-ego, będziemy zobowiązani sami do rejestracji zbioru danych osobowych zawierających dane wrażliwe.

W myśl art. 27 ustawy o ochronie danych osobowych dane wrażliwe to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Przypuszczać jednak należy, że w przypadku sklepów internetowych przetwarzanie tego typu danych osobowych będzie należeć do rzadkości.