Poradnik Przedsiębiorcy

Sklep internetowy a GIODO - jak zgłosić bazę danych osobowych?

Według danych Gemius za 2015 r. liczba internautów w Polsce wynosi prawie 25 mln osób (70% społeczeństwa). Z kolei raport "E-commerce w Polsce 2015", przygotowany również przez Gemius, podaje, że aż 54% internautów dokonuje zakupów w polskich sklepach internetowych. Coraz więcej firm działa i rozwija się w sieci. Prowadzenie e-handlu, mimo że jest uprzywilejowane pod wieloma względami w porównaniu z handlem stacjonarnym, musi spełnić wiele wymogów - zarówno natury sanitarnej, jak i prawnej. Jednym z nich jest obowiązek zgłoszenia zbioru przetwarzanych danych osobowych do Głównego Inspektora Ochrony Danych Osobowych, określanego w skrócie GIODO. Czy zastanawiałeś się kiedyś, jak mają się do siebie prowadzony przez ciebie sklep internetowy a GIODO?

Sklep internetowy a GIODO - wymóg zgłoszenia danych osobowych

Kiedy właściciel sklepu internetowego ma obowiązek dokonać zgłoszenia do GIODO? Ustawa o ochronie danych osobowych obowiązuje wszystkie podmioty gospodarcze, które przetwarzają dane osobowe klientów.

Czym są dane osobowe? Według art. 6 wyżej wymienionej ustawy dane osobowe to wszystkie informacje, które dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Informacje pozostawiane przez klientów w sklepie internetowym - imię i nazwisko, adres wysyłki oraz adres e-mailowy - posiadają zdecydowanie charakter danych osobowych, o których wspomina ustawa. Dlatego zgłoszenie ich do GIODO jest co do zasady obowiązkowe.

Część właścicieli sklepów internetowych mylnie interpretuje zapis ustawy o ochronie danych osobowych występujący w art. 43.1 w pkt. 8, który mówi, że:

Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych [...] przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej.

Jeśli firma posiada dane służące tylko do wyżej wymienionych czynności, to oczywiście nie występuje obowiązek zgłaszania ich do GIODO. Jednak praktycznie żaden sklep internetowy nie podpada pod ten punkt, ponieważ jego sposób funkcjonowania - proces zakupu i realizacji zamówienia - powoduje, że dane osobowe są przetwarzane i wykorzystywane także w innych celach. Pozyskane informacje wykorzystywane są do kontaktu z klientem, wysyłki towaru oraz dalszych działań promocyjnych. Takich wyłączeń ustawa już nie przewiduje, dlatego podczas prowadzenia takiego rodzaju biznesu zawsze dochodzi do momentu, w którym trzeba rozważyć jak mają się do siebie twój sklep internetowy a GIODO.

W tej kwestii istnieją dwie możliwości: należy dokonać zgłoszenia bazy danych osobowych do GIODO albo powołać Administratora Bezpieczeństwa Informacji (ABI). W pierwszym przypadku jesteśmy zobowiązani dokonać zgłoszenia posiadanych przez nas baz danych osobowych z podaniem informacji na podstawie jakiej podstawy prawnej je przetwarzamy. W tym drugim przypadku należy dokonać zgłoszenia ABI-ego do GIODO, ale jesteśmy zwolnieniu z konieczności rejestracji zbiorów danych.

Sklep internetowy a GIODO - termin i sposób zgłoszenia

Jeżeli zakładając e-sklep nie znalazłeś żadnego odpowiedniego dla siebie zwolnienia, to zanim jeszcze sklep internetowy zacznie funkcjonować, jako właściciel powinieneś zgłosić do GIODO, że będziesz posiadać i zarządzać bazą danych klientów oraz podać sposób, w jaki będziesz administrować danymi i je przechowywać. Jeśli e-sklep już funkcjonuje, to należy tak szybko, jak to tylko możliwe zgłoszenie takie wykonać.

Można to zrobić przez stronę internetową: https://egiodo.giodo.gov.pl/index.dhtml. Wniosek należy wypełnić online i podpisać go podpisem elektronicznym. Jeśli właściciel go nie posiada, to powinno się wniosek wysłać pocztą do Biura Generalnego Inspektora Ochrony Danych Osobowych.

Należy również pamiętać o umieszczeniu na stronie internetowej sklepu pełnych danych administratora danych osobowych.

Tworząc regulamin sklepu, nie wolno zapomnieć o dodaniu zapisu mówiącego o tym, że podanie danych osobowych jest dobrowolne oraz o prawie do wglądu do swoich danych osobowych, możliwości ich poprawienia lub usunięcia.

Pamiętać należy również, że jeśli przechowujemy dane klientów w różnych zbiorach, z różnorakim przeznaczeniem (sprzedaż, marketing, prowadzenie statystyk itd.), to powinny one być złożone na oddzielnych formularzach zgłoszeniowych, z uwzględnieniem konkretnego celu ich przetwarzania.

Zgłoszenie zbioru do GIODO to krok w dobrym kierunku, ale jeszcze nie wszystko, co właściciel sklepu internetowego powinien wykonać. W następnej kolejności należy zadbać o odpowiednie zabezpieczenie danych osobowych i ich ochronę przed ingerencją osób trzecich.

Wymagania względem administratora danych osobowych

Zgodnie z zapisami rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. administrator danych osobowych powinien wprowadzić politykę bezpieczeństwa informacji oraz instrukcję określającą sposób zarządzania systemem informatycznym.  

  1. Polityka bezpieczeństwa informacji

Polityka bezpieczeństwa informacji to zbiór dokładnych procedur, zgodnie z którymi podmiot gospodarczy zarządza systemami informacyjnymi i informatycznymi. W skład takiego zbioru powinny wchodzić informacje dotyczące metod chronienia zasobów, potencjalnych możliwości naruszenia bezpieczeństwa oraz scenariuszy postępowania, jakie w takich przypadkach są realizowane. Poza tym dokument powinien określać właściwe i niewłaściwe sposoby korzystania z zasobów.

Polityka bezpieczeństwa powinna zostać spisana takim językiem, żeby mogła zostać zrozumiana przez personel.

  1. Instrukcja zarządzania systemem informatycznym

Ten dokument powinien obejmować wszelkie informacje na temat zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Szczególny nacisk należy tu położyć na wymogi dotyczące bezpieczeństwa informacji.

W instrukcji zarządzania systemem informatycznym nie powinno zabraknąć:

  • ogólnych informacji o systemie informatycznym i zbiorach przetwarzanych danych osobowych,

  • procedury nadawania uprawnień do przetwarzania danych osobowych oraz rejestrowania ich w systemie informatycznym,

  • procedury postępowania związanego z bezpieczeństwem danych: metody uwierzytelniania, procedury rozpoczęcia, przerwania i zakończenia pracy, tworzenie kopii zapasowych oraz sposób, miejsce i czas ich przechowywania,

  • procedury wykonywanych przeglądów i okresowych napraw systemu.

Instrukcja zarządzania systemem informatycznym powinna zostać zatwierdzona przed administratora danych, a następnie przyjęta do realizacji jako oficjalny dokument.

Sklep internetowy a GIODO - kary za brak zgłoszenia

Nieprzestrzeganie obowiązków wynikających z ustawy o ochronie danych osobowych jest karalne. Kontrolerzy GIODO mają prawo sprawdzić, czy na stronie sklepu internetowego znajdują się wymagane informacje, a także poszukać w bazie GIODO kontrolowanego podmiotu gospodarczego.

Według przepisów ustawy o ochronie danych osobowych podmiot, który nie zgłasza zbioru danych osobowych, mimo takiego obowiązku, podlega grzywnie, karze ograniczenia wolności lub pozbawienia wolności do roku. Warto zaznaczyć, że przepisy takie obowiązują w przypadku niezłożenia wniosku, a nie zgłoszenia błędnego lub niepełnego.

Brak zgłoszenia może również zostać uznany za naruszenie zbiorowych interesów konsumentów, co wiąże się z karą finansową w wysokości do 10% przychodów danej firmy za poprzedni rok rozliczeniowy.

Przepisy o konieczności zgłoszenia sklepu internetowego do GIODO nie są nowe, ponieważ ustawa o ochronie danych osobowych datowana jest na 29 sierpnia 1997 r. Z kolei 1 stycznia 2015 r. została wprowadzona duża zmiana w zapisach ustawy - nowelizacja dotycząca ABI-ego. Mimo że od czasu wejścia ustawy w życie i jej nowelizacji minęło sporo czasu, to nadal wiele firm nie stosuje się jeszcze do tych wymagań. Faktem jest, że kontrole z GIODO zdarzają się rzadko, jednak niedopełnienie obowiązków wynikających z tej ustawy może wiązać się z konkretnymi karami finansowymi. Dlatego zastanów się, czy twój sklep internetowy a GIODO są na pewno we właściwych relacjach. Poświęć trochę czasu i złóż odpowiedni wniosek o rejestracji zbiorów danych bądź powołaj Administratora Bezpieczeństwa Informacji.