Rejestracja zbioru danych osobowych w sklepie internetowym

wyszukiwarka_giodoW poprzednim artykule dotyczącym sklepów internetowych omówiliśmy jakie zbiory danych osobowych posiada statystyczny sklep internetowy. Część ze wskazanych zbiorów podlega rejestracji w GIODO. Wszystkie zaś zbiory powinny zostać uwzględnione w wykazie zbiorów będącym częścią Polityki bezpieczeństwa ochrony danych osobowych.

Do rozpatrzenia pod kątem rejestracji mamy następujące zbiory: Klienci, Konto, Marketing, Newsletter, Rejestr Korespondencji, Kadrowy oraz Baza Danych Kontrahentów. Sama kwestia rejestracji została omówiona w artykule „Rejestracja zbiorów – plusy i minusy”[1]. Generalną zasadą jest obowiązek rejestracji zbiorów z GIODO. Od wskazanego obowiązku są jednak liczne zwolnienia. W zgłoszeniu zbioru należy wskazać miedzy innymi podstawy przetwarzania danych. W poniższej artykule omówimy na podstawie jakich przesłanek są przetwarzane dane w określonym zbiorze.

Zbiór danych Klienci (rejestracja zbioru danych osobowych) zawiera dane osób, które nabyły jakieś produkty w naszym sklepie internetowym. Doszło więc do zawarcia umowy sprzedaż co jednocześnie jest podstawą przetwarzania danych zwykłych wskazaną w art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Dodatkowo, jako kolejną podstawę przetwarzania danych można wskazać art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Wskazana podstawa może mieć zastosowanie np. podczas udostępnienia danych producentowi określonego produktu w związku z np. naprawą gwarancyjną.

Kolejnym zbiorem posiadanym zazwyczaj przez administratorów danych prowadzących sklepy internetowe jest zbiór Konto (rejestracja zbioru danych osobowych). Jeżeli na stronie sklepu internetowego możemy się zarejestrować, to dane osobowe podane w trakcie rejestracji tworzą zbiór o wymienionej wyżej nazwie. Jeżeli rejestracja jest obowiązkowa, aby dokonać zakupu to zbiór danych Konto może obejmować również zbiór Klienci (jest wtedy tylko jeden zbiór). Podstawą przetwarzania danych w zbiorze Konto jest akceptacja regulaminu, a więc zawarcie umowy na warunkach opisanych w regulaminie (art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych). Dodatkowo, tutaj również jako podstawę można wskazać art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.

Zbiór danych Marketing (rejestracja zbioru danych osobowych) zawiera dane osobowe potencjalnych klientów oraz obecnych klientów. Dane zawarte w tym zbiorze są wykorzystywane do np. wysyłki mailowej zawierającej informacje o oferowanych przez sklep internetowy produktach. Podstawą przetwarzania danych w omawianym zbiorze będzie art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych (zgoda) oraz art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.

Kolejnym zbiorem jest Newsletter (rejestracja zbioru danych osobowych). Podstawą przetwarzania danych osób, które zapisały się do naszego e-biuletynu może być zarówno art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych (jeżeli wpisując się do newslettera osoba akceptuje regulamin) lub 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, czyli przytaczany już wielokrotnie usprawiedliwiony interes administratora danych. Takie również podstawy są wskazywane w decyzjach GIODO.[2]

Ostatnim zbiorem podlegającym rejestracji w GIODO jest Rejestr Korespondencji. Podstawą przetwarzania danych osobowych nadawców i odbiorców korespondencji jest art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.

Zbiór Kadrowy jest zwolniony z obowiązku rejestracji na podstawie art. 43 ust. 1 pkt 4 ustawy o ochronie danych osobowych. Zwolnieniu z obowiązku rejestracji podlega również zbiór Baza Danych Kontrahentów. W przypadku tego zbioru podstawą zwolnienia jest zarówno art. 43 ust. 1 pkt 11 ustawy o ochronie danych osobowych jak i art. 43 ust. 1 pkt 4 ustawy o ochronie danych osobowych.

 

[1] http://blog.e-odo.pl/2012/09/30/rejestracja-zbiorow-plusy-czy-minusy/

[2] DIS/DEC-1327/48391/09 dot. DIS-K-421/25/09

Kontrola GIODO – czyli czego szuka inspektor GIODO

Uchylę dziś rąbka tajemnicy na temat pracy inspektora GIODO.
Najistotniejszym zagadnieniem związanym z pracą inspektora jest pytanie czego on właściwie szuka w trakcie kontroli. Odpowiedź pewnie nikogo nie zaskoczy, bowiem inspektor tak jak każdy audytor szuka uchybień. Co to jest uchybienie? Zgodnie ze Słownikiem Języka Polskiego wydanym przez PWN, uchybienie oznacza:

  1. skutek zaniedbania, niedopatrzenie w czymś
  2. wykroczenie przeciw jakimś normom, przepisom, zwyczajom itp.
  3. zachowanie obrażające kogoś

Inspektora GIODO prowadzącego kontrolę interesują oczywiście uchybienia w zakresie stosowania przepisów dotyczących ochrony danych osobowych. W tym miejscu nasuwa się od razy pytanie, gdzie i w jaki sposób to robi.

A więc od czego zaczyna inspektor GIODO – odpowiedź jest banalna, zaczyna od znalezienia osoby, która powinna mieć wiedze na temat wszystkich procesów związanych z przetwarzaniem danych osobowych u kontrolowanego przedsiębiorcy. Taką osobą jest Administrator Bezpieczeństwa Informacji.
W przypadku braku takiej osoby możemy już na początku założyć, iż przedsiębiorca nie do końca dba o właściwą ochronę danych osobowych.

Praktycznie każdy podmiot działający na rynku ma podobną strukturę. Oczywiście skala działalności i profil działalności gospodarczych jest bardzo zróżnicowana, jednakże można znaleźć pewne powtarzalne schematy.

Bazując na moim doświadczeniu mogę znaleźć pewne elementy, które się powtarzają i z przyzwyczajenia to właśnie na tych elementach koncentruje się „standardowy” inspektor. Doskonałym przykładem są wymagania formalne. Każdy administrator danych powinien mieć wdrożoną Politykę bezpieczeństwa ochrony danych osobowych, Instrukcję zarządzania systemami informatycznymi przetwarzającymi dane osobowe, wydane upoważnienia, aktualną ewidencję osób upoważnionych do przetwarzania danych oraz zarejestrowane zbiory danych. Powyższe elementy bardzo łatwo sprawdzić, więc są zazwyczaj brane na pierwszy ogień.
W trakcie kontroli inspektorzy (prawnik i informatyk) sprawdzają również zabezpieczenia fizyczne danych osobowych. Zwracają uwagę np. na to czy dokumenty zawierające dane osobowe są przechowywane w szafkach zamykanych na klucz oraz czy dostęp do danych osobowych mają osoby nieupoważnione (np. poprzez nieodpowiednie ustawienie monitorów). Dodatkowo informatyk sprawdza systemy informatyczne w których są przetwarzane dane osobowe pod kątem spełnienia wymogów z rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).

Kolejnym punktem na „trasie kontroli” są działy Kadr. Praktycznie każdy przedsiębiorca taki dział posiada, więc przeciętny inspektor spotykał się z nim podczas kontroli już wiele razy i wie jakich uchybień tam szukać (np. kserokopii dowodów osobistych lub zbyt szerokiego zakresu danych w kwestionariuszy osobowym).

Po sprawdzeniu działu Kadr przychodzi pora na umowy z podmiotami zewnętrznymi, które przetwarzają dane na zlecenie administratora danych (szeroko pojęty outsourcing). W przypadku braku umów powierzenia przetwarzania danych z takimi podmiotami mamy kolejne gotowe uchybienia.

Po sprawdzeniu standardowych elementów przychodzi czas na procesy związane ze specyfiką kontrolowanego administratora danych. Tutaj szczególną uwagę poświęca się na różnego rodzaju formularze i ankiety za pomocą których pozyskiwane są dane osobowe ( w tym też strony internetowe). Sprawdzamy czy są niezbędne elementy wynikające z ustawy o ochronie danych osobowych takie jak obowiązki informacyjne czy klauzule zgód ( o ile są niezbędne w określonym stanie faktycznym). Badana jest też adekwatność, celowość i czas przechowywania danych, ale o tym napiszę w przyszłości.

Zapomniałbym o najważniejszym – tzn. jakie podejście prezentują inspektorzy. Sprawdza się tu stare przysłowie „jak Kuba Bogu, tak Bóg Kubie”, czyli poczęstujmy inspektora kawą i ciastkami, a na pewno kontrola przebiegnie dużo sprawniej.

Rejestracja zbiorów – plusy i minusy

Dla wielu przedsiębiorców największym „złem koniecznym” jest obowiązek rejestracji zbiorów. Panuje dosyć powszechne przekonanie, że lepiej nie rejestrować zbiorów, bo GIODO się o nas dowie i na pewno przyśle kontrolę. Oczywiście takie przekonanie jest błędne i może na nas faktycznie sprowadzić inspekcję GIODO. Zastanówmy się więc dlaczego lepiej jest zgłosić zbiór do rejestracji.

Po pierwsze ustawa o ochronie danych osobowych nas do tego obliguje, a jeżeli tego obowiązku nie zrealizujemy może czekać nas kara grzywny, ograniczenia lub pozbawienia wolności do roku.Rejestracja zbioru nie powoduje automatycznie kontroli. Jeżeli pomylimy się w zgłoszeniu lub podamy np. za szeroki zakres danych, GIODO zwróci się do nas z wnioskiem o uzasadnienie.

Kolejnym argumentem za rejestracją (istotnym zwłaszcza dla osób fizycznych prowadzących działalność gospodarczą) jest to, że sama rejestracja nic nie kosztuje. Jeżeli chcemy to możemy zwrócić się do GIODO o wydanie zaświadczenia o zarejestrowaniu zbioru (koszt opłaty skarbowej 17 zł).

Niestety z rejestracją związane są też pewne komplikacje. Z praktycznego punktu widzenia mogę powiedzieć zwłaszcza o jednej. Rejestrując zbiór oświadczamy (zaznaczamy odpowiedni checkbox w zgłoszeniu), że posiadamy wdrożoną Politykę bezpieczeństwa ochrony danych osobowych oraz Instrukcję zarządzania systemami informatycznymi przetwarzającymi dane osobowe. Przegotowanie zaś tych dwóch dokumentów jest już bardziej czasochłonne niż samo zgłoszenie zbioru.

Zgłoszenie zbioru co prawda rzadko, ale jednak, czasem również powoduje kontrolę GIODO. Taka sytuacja może mieć miejsce gdy np. zgłosimy zbiór danych pt. „Czarna lista gości” (czyli osoby, których nie obsługujemy).

Przy okazji rejestracji warto wspomnieć o obowiązku wyznaczenia Administratora Bezpieczeństwa Informacji w przypadku podmiotów nie będących osobami fizycznymi prowadzącymi działalność gospodarczą (II SA/Wa 630/12). Czyli w praktyce jeżeli prowadzimy działalność gospodarczą w formie spółki z ograniczoną odpowiedzialnością i w zgłoszeniach nie oświadczyliśmy, iż wyznaczyliśmy Administratora Bezpieczeństwa Informacji, GIODO zapyta się nas dlaczego tego nie zrobiliśmy (i nie zarejestruje zbioru dopóki nie wyznaczymy Administratora Bezpieczeństwa Informacji).

Przedsiębiorcy często wahają się ze zgłoszeniem zbiorów z jeszcze jednego powodu. Swoją działalność prowadzą od np. kilku lat, a dopiero teraz mają zgłosić zbiór – czy więc GIODO nie przyśle kontroli niejako za karę za to, że zbiory zgłaszane są za późno? Przyznam, że nigdy nie słyszałem o takim przypadku. Dodatkowo dlaczego GIODO miałby karać przedsiębiorcę, który chce spełnić swój obowiązek. Jeżeli GIODO miałby karać za wcześniejsze niezgłoszenie to całe biuro GIODO tylko tym by się zajmowało.

Podsumowując – zdecydowanie warto rejestrować zbiory danych w GIODO.