Czy sklep powinien zgłaszać bazy danych osobowych do GIODO?

Dodane:

Rafał Bugajski Rafał Bugajski

Udostępnij:

Problem rejestracji baz danych osobowych w GIODO spędza sen z powiek wielu przedsiębiorcom. Od 1 stycznia tego roku cała procedura rejestracji została uproszczona, a sklep internetowy nie musi już zgłaszać takich baz. Zamiast tego ma jednak obowiązek powołać administratora bezpieczeństwa informacji.

Zdjęcie royalty free z Fotolia 

Nowelizacja ustawy o ochronie danych osobowych (ustawa z dnia 24 września 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw) ma na celu poprawienie warunków prowadzenia działalności gospodarczej. Kluczem do celu jest ograniczenie biurokracji, a co za tym idzie – podniesienie efektywności pracy oraz wsparcie przedsiębiorców w inwestycjach. Szczególnie istotne są zmiany w zakresie kontroli przetwarzania danych osobowych. Nowelizacja ustawy o ochronie danych osobowych wychodzi naprzeciw administratorom sklepów internetowych i pozwala na uniknięcie obowiązku zgłoszenia baz danych do rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych.

Obowiązek zgłoszenia zbiorów danych a powołanie administratora bezpieczeństwa informacji (ABI-ego)

Art. 6 ustawy o ochronie danych osobowych stanowi, iż dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Kolejny artykuł przytoczonej ustawy jasno określa, co należy rozumieć przez zbiór danych, stanowiąc, że jest to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

Zważywszy na fakt, iż dane, które otrzymuje sklep internetowy od swoich klientów, które są potrzebne chociażby do wysyłki towaru (jak ich imię, nazwisko czy adres, dzięki którym z łatwością można ich zidentyfikować), mają niewątpliwie charakter danych osobowych, przesądza to o obowiązku zgłoszenia zbioru danych osobowych przetwarzanych przez administratora do rejestru zbiorów prowadzonego przez GIODO.

Jednakże w ramach nowelizacji ustawy o ochronie danych osobowych ustawodawca przewiduje możliwość powołania administratora bezpieczeństwa informacji. Powołanie ABI-ego jednakże wiąże się ze zgłoszeniem tego faktu do rejestracji Generalnemu Inspektorowi. Warto podkreślić, że zgłoszenie ABI-ego do rejestru GIODO oznacza brak konieczności rejestracji zbiorów do GIODO.

Jakie są główne obowiązki ABI-ego?

Głównym zadaniem ABI-ego jest zapewnianie przestrzegania przepisów o ochronie danych osobowych w sklepie, w szczególności przez:

  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
  • nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, oraz przestrzegania zasad w niej określonych, 
  • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Nowelizacja ustawy o ochronie danych osobowych utrzymuje obowiązek prowadzenia dokumentacji wewnętrznej dotyczącej przetwarzania danych, tj. polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym. Aktualnie trwają prace nad aktami wykonawczymi do ustawy o ochronie danych osobowych, tj. rozporządzeniami związanymi z wykonywaniem obowiązków ABI-ego. Akty te będą szczególnie istotne, ponieważ będą precyzować ogólne obowiązki ABI.

Rejestr zbiorów danych prowadzony przez ABI-ego i kompetencja kontrolna

Jak już wcześniej wspomniano, dzięki powołaniu ABI-ego przez sprzedawcę internetowego, nie będzie on już zobowiązany zgłaszać zbiorów danych osobowych do rejestru prowadzonego przez GIODO. Zamiast tego, to ABI w będzie zobowiązany prowadzić rejestr, który należy odpowiednio opisać. Opis powinien uwzględniać:

  • oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi (umowa o powierzeniu danych osobowych) – oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania; 
  • cel przetwarzania danych; 
  • opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych; 
  • sposób zbierania oraz udostępniania danych; 
  • informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane; 
  • opis środków technicznych i organizacyjnych zastosowanych w celach zabezpieczania danych osobowych; 
  • informację o sposobie wypełnienia warunków technicznych i organizacyjnych, wprowadzonych celem zabezpieczenia danych osobowych;
  • informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

Aby wykonywać swoje obowiązki właściwie, administrator bezpieczeństwa informacji będzie musiał podlegać bezpośrednio kierownictwu administratora danych. W przypadku niewykonywania lub nienależytego wykonywania swoich obowiązków ABI w pierwszej kolejności będzie odpowiadał na zasadzie kontraktowej względem administratora danych osobowych. ABI na mocy art. 51 ustawy o ochronie danych osobowych może zostać również pociągnięty do odpowiedzialności karnej za udostępnianie lub umożliwienie dostępu do danych osobom do tego nieupoważnionym.

GIODO może powierzyć ABI-emu wykonywanie czynności polegających na sprawdzeniu zgodności przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych. W praktyce oznacza to znaczne odciążenie dla administratorów danych sklepów internetowych. Należy jednak pamiętać, że kontrola wykonywana przez ABI-ego nie wyklucza późniejszej kontroli ze strony GIODO.

Czy wszystkich klientów możemy wrzucić do jednego worka (zbioru danych)?

Należy pamiętać, że każdy zbiór, służący do różnych celów, na przykład realizacji umowy sprzedaży, marketingowych, czy prowadzenia statystyk, powinien być złożony na oddzielnych formularzach zgłoszeniowych, uwzględniających odpowiedni zakres danych osobowych oraz cel, w jakim są one przetwarzane. Również w przypadku powołania ABI-ego, należy uwzględnić rozróżnienie danych przetwarzanych w odmiennych celach.

Podsumowanie

Jak zostało wcześniej wyjaśnione, rejestracja ABI-ego zwalnia administratora danych z obowiązku rejestracji baz danych do GIODO, jednak wprowadza również dodatkową kontrolę. Nowelizacja ustawy o ochronie danych osobowych odciąży GIODO nie pozbawiając go jednocześnie kompetencji kontrolnych. Dlatego też, aby prowadzić bezpiecznie sklep internetowy należy zadbać o podstawową kwestię, jaką jest rozstrzygnięcie kwestii rejestracji zbiorów, czy też powołania ABI-ego. Przed podjęciem decyzji warto skierować się do fachowca, który zaproponuje rozwiązanie odpowiednie dla danego sklepu internetowego.

Rafał Bugajski

Przedsiębiorca, współzałożyciel grupy serwisów prawnych, w skład których wchodzi m. in. Prokonsumencki.pl, zajmujący się sprawdzaniem i certyfikowaniem sklepów internetowych. Absolwent prestiżowej uczelni zarządzania ESCP Europe w Londynie i Paryżu.