Przedsiębiorco, jeśli prowadzisz sklep internetowy i zapoznałeś się z Ustawą o Ochronie Danych Osobowych (UODO), to zapewne pomyślałeś również o tym, aby uniknąć obowiązku rejestracji zbioru danych osobowych. UODO przedstawia cały katalog podstaw do zwolnienia z rejestracji – wśród nich przedsiębiorcy znajdują pewną furtkę. Czy jednak słusznie? Zaraz to sobie wyjaśnimy.
Kiedy mamy do czynienia ze zwolnieniem z obowiązku rejestracji zbioru w GIODO
W artykule 43 Ustawy o Ochronie Danych Osobowych wymienionych jest 15 podstaw do zwolnienia zbiorów danych osobowych z rejestracji. Jeden z nich (art.43 ust. 8) mówi, że z obowiązku tego zwolnieni są administratorzy, którzy dane przetwarzają „wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej”.
Wydawać by się mogło, że dla sklepów internetowych jest to furtka, która pozwala uniknąć konieczności rejestracji zbioru. Jest to jednak błędne założenie. Zaniechanie rejestracji zbioru danych osobowych przetwarzanego w sklepie internetowym z powołaniem się na ten zapis może ściągnąć na przedsiębiorcę kłopoty i konsekwencje związane z nieprzestrzeganiem zapisów UODO. Dlaczego tak jest? O tym piszemy poniżej.
W jakich celach sklep internetowy przetwarza dane i dlaczego nie będzie zwolniony z obowiązku rejestracji
Prowadząc sklep internetowy, zbierasz dane osobowe. Dzieje się to przy rejestracji, jeśli w Twoim sklepie trzeba bądź można się rejestrować. Jeśli klient Twojego sklepu nie rejestruje się, to i tak zostawi Ci dane przy składaniu zamówienia.
Jako przedsiębiorca sam wiesz najlepiej, jakie dane są Ci niezbędne do wystawienia faktury czy rachunku. Są to imię i nazwisko, nazwa firmy, adres, NIP – nic więcej.
Czy tylko taki zakres danych zbierasz w swoim sklepie? Nie sądzę. Niemal zawsze do powyższych dochodzą adres e-mail, adres do wysyłki. Niekiedy także numer telefonu, płeć, data urodzenia i inne dane. Tak więc zbieramy dane wykraczające poza zakres potrzebny do „wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej”. Tym samym nie spełniamy przesłanki pozwalającej na zwolnienie z rejestracji zbioru.
Nie zdarza się również, aby dane zbierane w sklepie internetowym były wykorzystywane wyłącznie w celach związanych z rozliczeniami finansowymi. Zazwyczaj w sklepie internetowym klienci podają swój adres e-mail, który wykorzystywany jest do powiadamiania o statusie transakcji i zaawansowaniu realizacji zamówienia. Niekiedy ten adres wykorzystywany jest również do prowadzenia e-mail marketingu. Większość sklepów wysyła swoje towary do klienta za pośrednictwem poczty lub firm kurierskich. Tak więc celem zebrania danych adresowych jest realizacji wysyłki.
Jak widać, sklep internetowy jest bytem, który z racji specyfiki swojego działania dane przetwarza w celu i zakresie szerszym niż wymieniony w art. 43 ust. 8 Ustawy o Ochronie Danych Osobowych.
Zamiast szukać furtki, lepiej zarejestrować zbiór danych osobowych i spać spokojnie.
– – –
Autorem wpisu jest Rafał Tochman – specjalista w dziedzinie ochrony danych osobowych w e-commerce, właściciel marki SafeLog.pl, właściciel księgarni internetowej z e-bookami.
Ad. 1)
Jeśli zbiór jest prowadzony „wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej”, nie trzeba go rejestrować.
Zwolnienie z obowiązku rejestracji, nie zwalania nas jednak z innych obowiązków ustawowych (ochrona danych osobowych, stworzenie odpowiedniej dokumentacji etc.)
Ad. 2)
Urządzenie, które służy do przetwarzania danych osobowych nie ma znaczenia w kontekście obowiązku (lub jego braku) zgłoszenia zbioru do GIODO.
Jeśli mamy zbiór danych, dla którego nie ma żadnej przesłanki do zwolnienie z rejestracji, to musimy go zarejestrować.
Niezależnie, czy jest to zbiór w smartfonie, na serwerze, czy w skoroszycie.
Podsumowując.
Należy ocenić czy dane osobowe, które gromadzimy, rzeczywiście tworzą zbiór.
Po definicję zbioru odsyłam do Ustawy o Ochronie Danych Osobowych.
Jeśli mamy do czynienia ze zbiorem, to należy sprawdzić, czy jesteśmy zwolnieni z obowiązku jego rejestracji (art. 43 Ustawy).
A teraz pytanie za 100 pkt.
Przykladowo prowadzisz dzialalnosc gospodarcza i sprzedajesz w sklepie nie internetowym. Wystawiasz faktury recznie nie majac nigdzie bazy danych lub wystawiasz paragony.
Masz swoja strone gdzie jest formularz kontaktowy w ktorym mozna podac imie, nazwisko, telefon, email oraz tresc.
Jesli pisze do mnie klient przez formularz typowo w sprawach biznesowych to tez mam swoja skrzynke zglaszac do GIODO?
Podobnie z komorka. Mam w komorce nr telefonow i emaile swoich klientow. Tez z tego powodu musze zglosic to do GIODO?
Jeśli wystawiasz FV, jesteś zobowiązany, by prowadzić ich ewidencję, przechowywać je w sposób uporządkowany (numeracja faktur, daty). Taki sposób sprawia, że mamy do czynienia ze zbiorem danych w rozumieniu Ustawy o Ochronie Danych Osobowych.
Do GIODO nie zgłaszamy urządzeń, mediów, oprogramowania itp. Zgłaszamy zbiory i pod tym kontem należny rozpatrywać konieczność zgłoszenia lub jej brak.
„Katalog” przesłanek podaje nam sama ustawa w artykule 43. Jest z czego wybierać, ale odradzam naciągać te przepisy „pod siebie”. Sugeruję kierować się zasadą, że jeśli nie ma jednoznacznej przesłanki do zwolnienie z obowiązku rejestracji, to zbiór rejestrujemy.
Szczerze powiedziawszy juz zglupialem.
1. To w takim razie jesli gromadze dane tylko potrzebne do wystawienia faktury VAT i te faktury wiadomo przechowuje gdzies to tez mam to zglaszac do GIODO? To po co ten wyjatek o danych potrzebnych tylko do celu wystawienia faktury VAT?
2. Apropo telefonu to nie rozumiem. Przeciez w obecnych czasach telefon to samo co komputer. Moge sobie napisac program w ktorym bede przechowywal dane kontaktowe klientow z ich adresami email. Tego zbioru nie trzeba zglaszac a juz zbior z tymi samymi danymi klientow ale w bazie na komputerze musze?
Z gory dziekuje za rozwianie watpliwosci bo teraz zabraklo mi tu logiki.
Mysle, ze z adresem email moznaby sie obronic. Przeciez jesli w regulaminie poinformujesz, ze faktura bedzie wysylana droga elektroniczna to adres email do wystawienia i wyslania faktury bedzie konieczny.
Gorzej oczywiscie z innymi danymi jak telefon, plec itp.
Obawiam się, że w ten sposób się nie obronisz.
Adres e-mail nie jest konieczny to wystawienia faktury.
Jeśli przetwarzasz go w celu wysyłki faktury, to nie zawiera się to w przesłance, o której mowa w artykule.