Jak prowadzić rejestr zbiorów danych osobowych

rejestr-zbiorówJedną z kluczowych zmian wynikających z nowelizacji ustawy o ochronie danych osobowych jest obowiązek prowadzenia rejestru zbiorów danych osobowych.
O konieczności prowadzenia ww. rejestru stanowi art. 36 ust. 2 pkt 2 ustawy o ochronie danych osobowych. Należy podkreślić, iż sporządzenie i prowadzenie rejestru zbiorów należy do nowych obowiązków Administratora Bezpieczeństwa Informacji.
Rejestr zbiorów danych osobowych ma być prowadzony w formie jawnej. Wymóg posiadania rejestru jest związany z brakiem rejestracji zbiorów w GIODO. Tak jak pisaliśmy we wcześniejszych artykułach, administrator danych, który wyznaczy ABI będzie mógł liczyć na pewne „udogodnienia”. Jednym z takich ułatwień jest brak obowiązku rejestracji zbiorów zawierających dane zwykłe w GIODO. Jednakże w zamiana za zwolnienie z rejestracji i aktualizacji ustawodawca przewidział konieczność prowadzenia przez ABI, wewnętrznego, jawnego rejestru zbiorów. Jeżeli administrator danych nie powołał ABI, to należy uznać, iż nie ma obowiązku prowadzenia rejestru zbiorów danych osobowych.

W rejestrze mają być uwzględnione wszystkie zbiory za wyjątkiem tych, zwolnionych z obowiązku rejestracji na podstawie art. 43 ust. 1 ustawy o ochronie danych osobowych. Szczegółowy tryb związany z prowadzeniem zbioru danych ma zostać określony w Rozporządzeniu Ministra Administracji i Cyfryzacji  w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych osobowych (obecnie na etapie projektu).

Zgodnie z ww. rozporządzeniem, rejestr zbiorów danych osobowych może być prowadzony zarówno w formie papierowej jak i elektronicznej.

W odniesieniu do każdego ze zbiorów (za wyjątkiem tych zwolnionych z rejestracji na podstawie art. 43 ust.1 ustawy o ochronie danych osobowych) w rejestrze powinny znaleźć się następujące informacje:

1) nazwa zbioru danych;

2) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania oraz numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;

3) jeżeli został wyznaczony, oznaczenie przedstawiciela administratora danych, o którym mowa w art. 3la ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zwanej dalej „ustawą”, i adres jego siedziby lub miejsca zamieszkania;

4) w przypadku powierzenia przetwarzania danych, oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru na podstawie art. 31 ustawy i adres jego siedziby lub miejsca zamieszkania;

5) podstawa prawna upoważniająca do prowadzenia zbioru danych;

6) cel przetwarzania danych w zbiorze;

7) opis kategorii osób, których dane są przetwarzane w zbiorze;

8) zakres danych przetwarzanych w zbiorze;

9) sposób zbierania danych do zbioru;

10) sposób udostępniania danych ze zbioru;

11) oznaczenie odbiorcy danych lub kategorii odbiorców, którym dane mogą być przekazywane;

12) informacja dotycząca ewentualnego przekazywania danych do państwa trzeciego w rozumieniu art. 7 pkt 7 ustawy.

W rejestrze należy również podać datę aktualizacji oraz wykreślenia zbioru. Zmian należy dokonywać niezwłocznie po ich powstaniu w zbiorze. Warto pamiętać, że rozporządzenie wymaga, aby wszystkie wymagane informacje były podane w powszechnie zrozumiałej formie.

Widać więc, że wymagane informacje jakie mają się znaleźć w rejestrze zbiorów są zgodne z tymi, które są wymagane podczas uzupełniania zgłoszenia zbioru do rejestracji w GIODO. Nie musimy się więc obawiać, iż w razie wyznaczenia ABI będziemy mieli obowiązek udostępnić jakieś dodatkowe informacje na temat przetwarzanych danych osobowych.

Rejestr prowadzony w formie elektronicznej ma być jawny poprzez:

1) udostępnienie rejestru na stronie internetowej administratora danych, przy czym na stronie głównej umieszcza się odwołanie umożliwiające bezpośredni dostęp do rejestru,

lub

2) udostępnienie każdemu zainteresowanemu rejestru na stanowisku dostępowym w systemie informatycznym administratora danych znajdującym się w siedzibie lub miejscu zamieszkania tego administratora.

W sytuacji prowadzenie rejestru w formie papierowej, rozporządzenie mówi o konieczności udostępnia treści rejestru przez administratora bezpieczeństwa informacji każdemu zainteresowanemu w siedzibie lub miejscu zamieszkania administratora danych.

 

Rejestracja zbioru danych osobowych w sklepie internetowym

wyszukiwarka_giodoW poprzednim artykule dotyczącym sklepów internetowych omówiliśmy jakie zbiory danych osobowych posiada statystyczny sklep internetowy. Część ze wskazanych zbiorów podlega rejestracji w GIODO. Wszystkie zaś zbiory powinny zostać uwzględnione w wykazie zbiorów będącym częścią Polityki bezpieczeństwa ochrony danych osobowych.

Do rozpatrzenia pod kątem rejestracji mamy następujące zbiory: Klienci, Konto, Marketing, Newsletter, Rejestr Korespondencji, Kadrowy oraz Baza Danych Kontrahentów. Sama kwestia rejestracji została omówiona w artykule „Rejestracja zbiorów – plusy i minusy”[1]. Generalną zasadą jest obowiązek rejestracji zbiorów z GIODO. Od wskazanego obowiązku są jednak liczne zwolnienia. W zgłoszeniu zbioru należy wskazać miedzy innymi podstawy przetwarzania danych. W poniższej artykule omówimy na podstawie jakich przesłanek są przetwarzane dane w określonym zbiorze.

Zbiór danych Klienci (rejestracja zbioru danych osobowych) zawiera dane osób, które nabyły jakieś produkty w naszym sklepie internetowym. Doszło więc do zawarcia umowy sprzedaż co jednocześnie jest podstawą przetwarzania danych zwykłych wskazaną w art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Dodatkowo, jako kolejną podstawę przetwarzania danych można wskazać art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Wskazana podstawa może mieć zastosowanie np. podczas udostępnienia danych producentowi określonego produktu w związku z np. naprawą gwarancyjną.

Kolejnym zbiorem posiadanym zazwyczaj przez administratorów danych prowadzących sklepy internetowe jest zbiór Konto (rejestracja zbioru danych osobowych). Jeżeli na stronie sklepu internetowego możemy się zarejestrować, to dane osobowe podane w trakcie rejestracji tworzą zbiór o wymienionej wyżej nazwie. Jeżeli rejestracja jest obowiązkowa, aby dokonać zakupu to zbiór danych Konto może obejmować również zbiór Klienci (jest wtedy tylko jeden zbiór). Podstawą przetwarzania danych w zbiorze Konto jest akceptacja regulaminu, a więc zawarcie umowy na warunkach opisanych w regulaminie (art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych). Dodatkowo, tutaj również jako podstawę można wskazać art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.

Zbiór danych Marketing (rejestracja zbioru danych osobowych) zawiera dane osobowe potencjalnych klientów oraz obecnych klientów. Dane zawarte w tym zbiorze są wykorzystywane do np. wysyłki mailowej zawierającej informacje o oferowanych przez sklep internetowy produktach. Podstawą przetwarzania danych w omawianym zbiorze będzie art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych (zgoda) oraz art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.

Kolejnym zbiorem jest Newsletter (rejestracja zbioru danych osobowych). Podstawą przetwarzania danych osób, które zapisały się do naszego e-biuletynu może być zarówno art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych (jeżeli wpisując się do newslettera osoba akceptuje regulamin) lub 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, czyli przytaczany już wielokrotnie usprawiedliwiony interes administratora danych. Takie również podstawy są wskazywane w decyzjach GIODO.[2]

Ostatnim zbiorem podlegającym rejestracji w GIODO jest Rejestr Korespondencji. Podstawą przetwarzania danych osobowych nadawców i odbiorców korespondencji jest art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.

Zbiór Kadrowy jest zwolniony z obowiązku rejestracji na podstawie art. 43 ust. 1 pkt 4 ustawy o ochronie danych osobowych. Zwolnieniu z obowiązku rejestracji podlega również zbiór Baza Danych Kontrahentów. W przypadku tego zbioru podstawą zwolnienia jest zarówno art. 43 ust. 1 pkt 11 ustawy o ochronie danych osobowych jak i art. 43 ust. 1 pkt 4 ustawy o ochronie danych osobowych.

 

[1] http://blog.e-odo.pl/2012/09/30/rejestracja-zbiorow-plusy-czy-minusy/

[2] DIS/DEC-1327/48391/09 dot. DIS-K-421/25/09

Sklep internetowy, a rejestracja zbiorów danych

sklep_internetowyKażdy z administratorów danych osobowych posiada „jakieś” zbiory danych osobowych. Ich ilość waha się od kilku do ponad stu, w zależności od prowadzonej działalności i jej skali. W poniższym artykule zajmiemy się tematem wyodrębnienie zbiorów danych w typowym sklepie internetowym i wskażemy, które z wyodrębnionych zbiorów należy zarejestrować w GIODO. Temat rejestracji jest ostatnio dosyć „popularny” z uwagi na pisma jakie otrzymują administratorzy danych, którzy nie zgłosili zbiorów danych do rejestracji w GIODO. Zgodnie z informacjami dostępnymi na stronie GIODO wskazane pisma są wysyłane przez podmioty trzecie, a nie przez GIODO.[1]

Czym właściwie jest zbiór danych? Dosyć często za zbiór danych jest uważany system informatyczny w którym są przetwarzane dane osobowe. Nie jest to do końca właściwe podejście. Co prawda czasami zbiór danych pokrywa się z danymi przetwarzanymi w określonym systemie informatycznym ale są to sporadyczne sytuacje. Aby wyjaśnić pojęcie zbioru danych zacznijmy od definicji ustawowej. Zgodnie z art. 7 pkt 1 ustawy o ochronie danych osobowych zbiór danych to „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”.[2] Biorąc pod uwagę podejście GIODO do zbiorów danych osobowych należy wskazać, iż decydującą rolę przy wyodrębnianiu zbiorów ma cel w jakim są przetwarzane dane osobowe. Taką też informacje możemy znaleźć na stronie GIODO w zakresie rejestracji zbiorów przez sklepy internetowe[3]. W jakich więc celach przetwarza dane osobowe administrator prowadzący sklep internetowy? Pierwszym celem jest prowadzenie sprzedaży oferowanych produktów lub usług. Mamy więc już pierwszy zbiór, a mianowicie „Klienci”. Jeżeli ktoś może w naszym sklepie złożyć zamówienia np. telefonicznie lub za pomocą formularza dostępnego na stronie, to dane pochodzące z tego typu miejsc „wpadają” do zbioru Klienci. Drugim zbiorem jaki bardzo często pojawia się w związku ze sklepem internetowym jest zbiór „Konto”. Ww. zbiór powstaje jeżeli w naszym sklepie można albo należy się zarejestrować, aby dokonać zakupu. Zbiór „Konto” nie jest tożsamy ze zbiorem „Klienci” z uwagi na okoliczność, iż założenie konta nie jest równoznaczne ze złożeniem zamówienia. Bezpieczniej jest więc wyodrębnić te dwa zbiory. Kolejnym zbiorem jest zbiór „Marketing”. Jeżeli wysyłamy jakieś informacje marketingowe do naszych klientów lub osób nie będących naszymi klientami (np. osoby, które wyłącznie założyły konto w naszym sklepie) to ww. czynności odbywają się na danych ze zbioru Marketing. Następny zbiór występujący w kontekście działań marketingowych nazywa się „Newsletter”. W ocenie GIODO adresy e-mail zebrane w celu otrzymywania bezpłatnych treści redakcyjnych (newsletter) tworzą odrębny zbiór danych. Kolejny zbiór danych jaki może pojawić się w sklepie internetowym to „Rejestr Korespondencji”. Jeżeli prowadzimy tego typu ewidencje (nie jest istotne czy w formie zeszytu czy np. tabelki excel) mamy kolejny zbiór danych. Przy wyodrębnianiu zbiorów warto jeszcze wskazać na zbiór danych pod nazwą „Kadrowy” oraz „Baza danych Kontrahentów”. W zbiorze „Kadrowym” mam dane osobowe naszych pracowników oraz osób współpracujących z nami na podstawie umów cywilnoprawnych. W zbiorze „Baza danych kontrahentów” mamy dane osobowe osób fizycznych prowadzących działalność gospodarczą z którymi mamy podpisane umowy np. jednoosobowe firmy informatyczne.

Wskazaliśmy wyłącznie typowe zbiory danych osobowych. Każdy sklep internetowy może mieć dodatkowe zbiory lub nie posiadać jednego lub kilku z wyżej wymienionych np. newslettera.

W kolejnym artykule omówimy, które z wymienionych wyżej zbiorów należy zarejestrować w GIODO oraz jaka jest podstawa prawna przetwarzania danych w tych zbiorach (czyli co powinniśmy zrobić, aby legalnie przetwarzać dane osobowe).