„Zgłosić do GIODO” – na dźwięk tych słów, wielu właścicieli sklepów internetowych oblewa zimny pot i ogarnia strach. No, może nie jest aż tak tragicznie, ale spora grupa przedsiębiorców wyobraża sobie, że staje przed bardzo poważnym wyzwaniem.
Czym nie jest zgłoszenie do GIODO
Właśnie! Tak dokładnie, czym jest zgłoszenie do GIODO? Wystarczy spojrzeć na najczęściej pojawiające się pytania o zgłoszenie. Brzmią one:
1. Czy muszę zgłaszać sklep internetowy do GIODO?
2. Czy muszę zgłosić bazę danych do GIODO?
Odpowiedź na oba pytania brzmi „NIE”, ale nie ciesz się na zapas, Drogi Przedsiębiorco. Musisz zarejestrować ZBIÓR DANYCH OSOBOWYCH, które przetwarzasz w sklepie. I najprawdopodobniej większość ZBIORÓW DANYCH OSOBOWYCH, które przetwarzasz w ramach baz danych.
3. Czy muszę wysyłać do GIODO dane moich klientów?
Nie ma takiej potrzeby. GIODO nie interesują dane Twoich klientów. Interesuje natomiast to, czy przetwarzasz dane zgodnie z prawem. Czy dopełniłeś wszystkich obowiązków związanych z przetwarzaniem danych, ich zabezpieczeniem, etc.
4. Czy muszę podawać liczbę osób, których dane przetwarzam?
Nie musisz. Takie informacje również nie interesują GIODO.
5. Istnieje obowiązek aktualizacji danych o zbiorze w GIODO. Czy to znaczy, że muszę co jakiś czas dosyłać listę klientów, którzy się zarejestrowali?
Na to pytanie właściwie odpowiedzieliśmy sobie już wcześniej. Ponieważ nie musisz podawać liczby osób, których dane przetwarzasz, to nie masz również obowiązku aktualizowania tych informacji.
Jak wygląda zgłoszenie zbioru do GIODO
Zgłoszenie rejestracyjne zbioru danych osobowych można przesłać tradycyjnie lub przez Internet. Oczywiście, w dużym uproszczeniu, ponieważ obie drogi mają kilka wariantów, związanych z wykorzystaniem np. podpisu elektronicznego, czy Profilu Zaufanego. Można zatem wybrać najbardziej dogodną dla siebie formę.
A teraz co nieco o zawartości.
Zgłoszenie rejestracyjne składa się z sześciu części (oznaczonych od A do F). Na tych sześć części, przypada 18 kroków.
W tych krokach podajemy szereg informacji. Wymienię te, które najczęściej dotyczą standardowego sklepu internetowego:
- Cel złożenia wniosku.
Masz do wyboru dwie opcje rejestracji oraz aktualizację wniosku; - Nazwa zbioru;
- Charakterystykę administratora danych.
Tu podajesz dane swojej firmy; - Cel przetwarzania danych.
Czyli po co przetwarzasz dane; - Kategorie osób, których dane dotyczą.
Tak, kategorie. Nie dane tych osób. Chodzi o ogólne określenie, czyje to są dane. Na przykład „osoby fizyczne, będące klientami sklepu internetowego.”; - Zakres przetwarzanych danych.
Zaznaczasz na liście dane, które przetwarzasz w zbiorze. A jeśli nie ma ich na liście, dopisujesz;
- Sposób zbierania danych.
Wybierasz spośród dwóch opcji: albo zbierasz je od osób, których dotyczą, lub z innych źródeł. - Informacje o udostępnianiu i przekazywaniu i odbiorcach danych;
- Opis środków technicznych i organizacyjnych służących zabezpieczeniu danych;
Skomplikowane? To zależy.
Rejestracja zbioru to „wisienka na torcie”
Jeśli bez problemu jesteś w stanie podać powyższe informacje we wniosku, to gratuluję. Najprawdopodobniej zainteresowałeś się całą ustawą o ochronie danych osobowych, a nie tylko wnioskiem. Natomiast jeśli powyższe zagadnienia wydają Ci się obce, to znaczy, że jest jeszcze kilka spraw, o których powinieneś się dowiedzieć.
Rejestracja zbioru jest tylko jednym z wymogów wspomnianej ustawy. Zanim w ogóle przystąpisz do wypełniania wniosku, powinieneś spełnić inne wymagania. Jest to o tyle ważne, że we wniosku musisz zadeklarować ich spełnienie. Poniżej wymienimy jedynie kluczowe kwestie, gdyż temat jest zbyt szeroki na jeden artykuł.
- Musisz zidentyfikować zbiory
Konieczne jest określenie, jakie dane osobowe przetwarzasz, oraz czy tworzą one zbiory danych. Dla każdego zbioru należy określić cel, zakres przetwarzania danych oraz.. - Musisz mieć podstawę prawną do przetwarzania danych osobowych.
Taką podstawą jest zgoda na przetwarzanie danych osobowych, ale nie tylko. W art. 23 ust. 1 ustawy o ochronie danych osobowych (UODO) znajdziesz kilka przesłanek, na podstawie których możesz przetwarzać dane osobowe.
- Musisz udzielić szeregu informacji o osobie, której dane dotyczą
Na administratorze danych ciąży obowiązek informacyjny. Jesteś zobowiązany poinformować osoby, których dane przetwarzasz, między innymi o swojej pełnej nazwie, adresie siedziby, celu przetwarzania danych. Należy także poinformować te osoby o prawach, które im przysługują. Więcej o obowiązku informacyjnym w art. 24 i 25 UODO.
Poza informacjami udzielanymi „ z urzędu”, są jeszcze te, których musisz udzielić na żądanie osoby, której dane przetwarzasz. Znajdziesz je w art. 32 UODO. - Musisz stworzyć odpowiednią dokumentację
Podstawowymi dokumentami dotyczącymi ochrony danych osobowych są:
– Polityka bezpieczeństwa
– Instrukcja zarządzania systemem informatycznym i powiązane z nią procedury.
Poza podanymi dokumentami, zobowiązany jesteś wydać odpowiednie upoważnienia pracownikom, którzy będą mieli dostęp do danych osobowych i prowadzić ewidencję tych upoważnień.
Zakres dokumentacji jest zmienny. Powyższe dokumenty mogą być uzupełnione np. o dodatkowe procedury. Zależy to od specyfiki firmy i procesów przetwarzania danych.
- Zabezpieczenie danych osobowych
Zabezpieczenia powinny być opisane w wyżej wymienionych dokumentach. Oczywiście, nie wystarczy, że je opiszesz. Trzeba je również wdrożyć. Wymagania dotyczące zabezpieczenia zbiorów (zarówno techniczne, jak i organizacyjne) opisuje UODO oraz Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Nie spodziewaj się jednak, że znajdziesz tam gotowe rozwiązania. W większości, ustawodawca pozostawia Ci swobodę mówiąc, CO trzeba zrobić, ale niekoniecznie JAK. - Powierzenie danych osobowych
Prowadząc sklep internetowy, w większości przypadków powierzamy przetwarzanie danych osobowych innym podmiotom (podmioty te nazywa się procesorami), zazwyczaj firmie świadczącej usługi hostingu lub zewnętrznej księgowości. Nie można tego zrobić, od tak sobie. Powierzenie przetwarzania danych osobowych wymaga umowy zawartej NA PIŚMIE, która określa między innymi cel i zakres powierzenia. W umowie takiej, należy również zawrzeć zobowiązanie procesora do przestrzegania UODO.
Gdy już spełnisz powyższe wymagania, możesz przystąpić do zgłoszenia zbioru. Teraz nie powinno sprawić Ci to problemu. Wszystkie informacje zebrałeś wcześniej i większość z nich znajdziesz w Polityce bezpieczeństwa i Instrukcji zarządzania systemem informatycznym.
– – –
Autorem wpisu jest Rafał Tochman – specjalista w dziedzinie ochrony danych osobowych w e-commerce, właściciel marki SafeLog.pl, właściciel księgarni internetowej z e-bookami.
