Sklep internetowy, a rejestracja zbiorów danych

sklep_internetowyKażdy z administratorów danych osobowych posiada „jakieś” zbiory danych osobowych. Ich ilość waha się od kilku do ponad stu, w zależności od prowadzonej działalności i jej skali. W poniższym artykule zajmiemy się tematem wyodrębnienie zbiorów danych w typowym sklepie internetowym i wskażemy, które z wyodrębnionych zbiorów należy zarejestrować w GIODO. Temat rejestracji jest ostatnio dosyć „popularny” z uwagi na pisma jakie otrzymują administratorzy danych, którzy nie zgłosili zbiorów danych do rejestracji w GIODO. Zgodnie z informacjami dostępnymi na stronie GIODO wskazane pisma są wysyłane przez podmioty trzecie, a nie przez GIODO.[1]

Czym właściwie jest zbiór danych? Dosyć często za zbiór danych jest uważany system informatyczny w którym są przetwarzane dane osobowe. Nie jest to do końca właściwe podejście. Co prawda czasami zbiór danych pokrywa się z danymi przetwarzanymi w określonym systemie informatycznym ale są to sporadyczne sytuacje. Aby wyjaśnić pojęcie zbioru danych zacznijmy od definicji ustawowej. Zgodnie z art. 7 pkt 1 ustawy o ochronie danych osobowych zbiór danych to „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”.[2] Biorąc pod uwagę podejście GIODO do zbiorów danych osobowych należy wskazać, iż decydującą rolę przy wyodrębnianiu zbiorów ma cel w jakim są przetwarzane dane osobowe. Taką też informacje możemy znaleźć na stronie GIODO w zakresie rejestracji zbiorów przez sklepy internetowe[3]. W jakich więc celach przetwarza dane osobowe administrator prowadzący sklep internetowy? Pierwszym celem jest prowadzenie sprzedaży oferowanych produktów lub usług. Mamy więc już pierwszy zbiór, a mianowicie „Klienci”. Jeżeli ktoś może w naszym sklepie złożyć zamówienia np. telefonicznie lub za pomocą formularza dostępnego na stronie, to dane pochodzące z tego typu miejsc „wpadają” do zbioru Klienci. Drugim zbiorem jaki bardzo często pojawia się w związku ze sklepem internetowym jest zbiór „Konto”. Ww. zbiór powstaje jeżeli w naszym sklepie można albo należy się zarejestrować, aby dokonać zakupu. Zbiór „Konto” nie jest tożsamy ze zbiorem „Klienci” z uwagi na okoliczność, iż założenie konta nie jest równoznaczne ze złożeniem zamówienia. Bezpieczniej jest więc wyodrębnić te dwa zbiory. Kolejnym zbiorem jest zbiór „Marketing”. Jeżeli wysyłamy jakieś informacje marketingowe do naszych klientów lub osób nie będących naszymi klientami (np. osoby, które wyłącznie założyły konto w naszym sklepie) to ww. czynności odbywają się na danych ze zbioru Marketing. Następny zbiór występujący w kontekście działań marketingowych nazywa się „Newsletter”. W ocenie GIODO adresy e-mail zebrane w celu otrzymywania bezpłatnych treści redakcyjnych (newsletter) tworzą odrębny zbiór danych. Kolejny zbiór danych jaki może pojawić się w sklepie internetowym to „Rejestr Korespondencji”. Jeżeli prowadzimy tego typu ewidencje (nie jest istotne czy w formie zeszytu czy np. tabelki excel) mamy kolejny zbiór danych. Przy wyodrębnianiu zbiorów warto jeszcze wskazać na zbiór danych pod nazwą „Kadrowy” oraz „Baza danych Kontrahentów”. W zbiorze „Kadrowym” mam dane osobowe naszych pracowników oraz osób współpracujących z nami na podstawie umów cywilnoprawnych. W zbiorze „Baza danych kontrahentów” mamy dane osobowe osób fizycznych prowadzących działalność gospodarczą z którymi mamy podpisane umowy np. jednoosobowe firmy informatyczne.

Wskazaliśmy wyłącznie typowe zbiory danych osobowych. Każdy sklep internetowy może mieć dodatkowe zbiory lub nie posiadać jednego lub kilku z wyżej wymienionych np. newslettera.

W kolejnym artykule omówimy, które z wymienionych wyżej zbiorów należy zarejestrować w GIODO oraz jaka jest podstawa prawna przetwarzania danych w tych zbiorach (czyli co powinniśmy zrobić, aby legalnie przetwarzać dane osobowe).

2 komentarze do wpisu „Sklep internetowy, a rejestracja zbiorów danych”

  1. No tak, jeśli tak wąsko zdefiniujemy cel, to rzeczywiście zbiorów powstaje od groma. A jeśli będziemy się z kimś sądzić o zapłatę – kolejny zbiór, bo to przecież nie sprzedaż… A gdy klient zgłosi się z reklamacją – kolejny zbiór… itd. itd… Tymczasem nikt nie każe nam celu definiować tak wąsko – możemy go określić przecież jako np. „prowadzenie sklepu internetowego” albo „czynności związane z działalnością sklepu internetowego”. Wtedy co najmniej: Klienci, Konto, Marketing, Newsletter i Kontrahenci są w jednym zbiorze. Owszem – Pan Serzycki kazałby nam te zbiory porozdzielać, ale obecny GIODO…? Wątpię. Pozdrawiam 🙂

  2. Mamy podobne stanowisko w tej sprawie. Faktem jest, że brak wyraźnej podstawy by byt zbioru danych łączyć z celem przetwarzania, kategorią osób, których dane dotyczą i podstawami przetwarzania danych osobowych. Problemem według mnie nie jest to czy cel będzie ujmowany mniej lub bardziej szeroko, ale że w ogóle identyfikacji zbioru danych bierzemy pod uwagę cel przetwarzania. Być może to trochę rewolucyjna teza, ale definicja zbioru danych nie zawiera odniesienia do celu przetwarzania danych osobowych. Także reasumując, tak, zgadzam się z tym, że takie dzielenie zbiorów danych zasadnie budzi wątpliwości.

    Niestety musimy pamiętać, że to GIODO przychodzi do nas na kontrolę, że to GIODO rejestruje zbiory danych. Faktem jest, że kilka pozytywnych rzecz po zmianie GIODO można odnotować. Pamiętać jednak musimy, że GIODO może się zmienił, ale pracownicy GIODO już nie bardzo. Np. w departamencie rejestracji pracują praktycznie te same osoby od wielu lat i jeśli nawet dochodzi ktoś nowy do zespołu, jest uczony tych samych schematów. Z punktu widzenia pomyślnej rejestracji zbioru i pozytywnej kontroli, bez najmniejszych wątpliwości doradzam swoim klientom, u których pełnię funkcję ABI, by identyfikować zbiory danych zgodnie z utartym szlakiem, którym podąża GIODO.

    Odnosząc się do zbiorów danych, których nazwy padły w komentarzu, moje i moich znajomych (również pracowników GIODO) doświadczenia wskazują, że dane dot. sporu o zapłatę nie tworzą odrębnego zbioru. Jeśli zaś chodzi o reklamację to już niestety tak. Z reklamacją możemy mieć taką sytuację, że ktoś ją złoży pomimo, że nie będzie naszym klientem – odpada nam wtedy szansa potraktowania tych danych, jako wchodzących w skład zbioru danych dot. klientów. Jeżeli w takiej sytuacji nie mamy zbioru danych reklamacji może zostać postawiony zarzut, że mamy „bezpańskie” dane, które nie zostały przyporządkowane do żadnego zbioru danych.

Dodaj komentarz

Administratorem Twoich dobrowolnie podanych danych osobowych jest Auraco sp. z o.o. z siedzibą przy ul. Solec 81B/73A, 00-382 Warszawa. Twoje dane osobowe będą przetwarzane w celu dodania i opublikowania komentarza na zasadach określonych w regulaminie. Auraco sp. z o.o. nie będzie udostępniać Twoich danych osobowych, chyba że będzie to konieczne z uwagi na obowiązujące przepisy prawa. Przysługuje Ci prawo dostępu oraz poprawienia danych osobowych.