Poradnik Przedsiębiorcy

Sklep internetowy a GIODO - jak zgłosić bazę danych osobowych?

Według danych Gemius za 2015 r. liczba internautów w Polsce wynosi prawie 25 mln osób (70% społeczeństwa). Z kolei raport "E-commerce w Polsce 2015", przygotowany również przez Gemius, podaje, że aż 54% internautów dokonuje zakupów w polskich sklepach internetowych. Coraz więcej firm działa i rozwija się w sieci. Prowadzenie e-handlu, mimo że jest uprzywilejowane pod wieloma względami w porównaniu z handlem stacjonarnym, musi spełnić wiele wymogów - zarówno natury sanitarnej, jak i prawnej. Jednym z nich jest obowiązek zgłoszenia zbioru przetwarzanych danych osobowych do Głównego Inspektora Ochrony Danych Osobowych, określanego w skrócie GIODO. Czy zastanawiałeś się kiedyś, jak mają się do siebie prowadzony przez ciebie sklep internetowy a GIODO?

Sklep internetowy a GIODO - wymóg zgłoszenia danych osobowych

Kiedy właściciel sklepu internetowego ma obowiązek dokonać zgłoszenia do GIODO? Ustawa o ochronie danych osobowych obowiązuje wszystkie podmioty gospodarcze, które przetwarzają dane osobowe klientów.

Czym są dane osobowe? Według art. 6 wyżej wymienionej ustawy dane osobowe to wszystkie informacje, które dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Informacje pozostawiane przez klientów w sklepie internetowym - imię i nazwisko, adres wysyłki oraz adres e-mailowy - posiadają zdecydowanie charakter danych osobowych, o których wspomina ustawa. Dlatego zgłoszenie ich do GIODO jest co do zasady obowiązkowe.

Część właścicieli sklepów internetowych mylnie interpretuje zapis ustawy o ochronie danych osobowych występujący w art. 43.1 w pkt. 8, który mówi, że:

Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych [...] przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej.

Jeśli firma posiada dane służące tylko do wyżej wymienionych czynności, to oczywiście nie występuje obowiązek zgłaszania ich do GIODO. Jednak praktycznie żaden sklep internetowy nie podpada pod ten punkt, ponieważ jego sposób funkcjonowania - proces zakupu i realizacji zamówienia - powoduje, że dane osobowe są przetwarzane i wykorzystywane także w innych celach. Pozyskane informacje wykorzystywane są do kontaktu z klientem, wysyłki towaru oraz dalszych działań promocyjnych. Takich wyłączeń ustawa już nie przewiduje, dlatego podczas prowadzenia takiego rodzaju biznesu zawsze dochodzi do momentu, w którym trzeba rozważyć jak mają się do siebie twój sklep internetowy a GIODO.

W tej kwestii istnieją dwie możliwości: należy dokonać zgłoszenia bazy danych osobowych do GIODO albo powołać Administratora Bezpieczeństwa Informacji (ABI). W pierwszym przypadku jesteśmy zobowiązani dokonać zgłoszenia posiadanych przez nas baz danych osobowych z podaniem informacji na podstawie jakiej podstawy prawnej je przetwarzamy. W tym drugim przypadku należy dokonać zgłoszenia ABI-ego do GIODO, ale jesteśmy zwolnieniu z konieczności rejestracji zbiorów danych.

Sklep internetowy a GIODO - termin i sposób zgłoszenia

Jeżeli zakładając e-sklep nie znalazłeś żadnego odpowiedniego dla siebie zwolnienia, to zanim jeszcze sklep internetowy zacznie funkcjonować, jako właściciel powinieneś zgłosić do GIODO, że będziesz posiadać i zarządzać bazą danych klientów oraz podać sposób, w jaki będziesz administrować danymi i je przechowywać. Jeśli e-sklep już funkcjonuje, to należy tak szybko, jak to tylko możliwe zgłoszenie takie wykonać.

Można to zrobić przez stronę internetową: https://egiodo.giodo.gov.pl/index.dhtml. Wniosek należy wypełnić online i podpisać go podpisem elektronicznym. Jeśli właściciel go nie posiada, to powinno się wniosek wysłać pocztą do Biura Generalnego Inspektora Ochrony Danych Osobowych.

Należy również pamiętać o umieszczeniu na stronie internetowej sklepu pełnych danych administratora danych osobowych.

Tworząc regulamin sklepu, nie wolno zapomnieć o dodaniu zapisu mówiącego o tym, że podanie danych osobowych jest dobrowolne oraz o prawie do wglądu do swoich danych osobowych, możliwości ich poprawienia lub usunięcia.

Pamiętać należy również, że jeśli przechowujemy dane klientów w różnych zbiorach, z różnorakim przeznaczeniem (sprzedaż, marketing, prowadzenie statystyk itd.), to powinny one być złożone na oddzielnych formularzach zgłoszeniowych, z uwzględnieniem konkretnego celu ich przetwarzania.

Zgłoszenie zbioru do GIODO to krok w dobrym kierunku, ale jeszcze nie wszystko, co właściciel sklepu internetowego powinien wykonać. W następnej kolejności należy zadbać o odpowiednie zabezpieczenie danych osobowych i ich ochronę przed ingerencją osób trzecich.