Kontrola GIODO w sklepie internetowym, czy jest się czego bać?

Dodane:

MamStartup logo Mam Startup

Udostępnij:

Sprzedawca internetowy, jak każdy przedsiębiorca, musi liczyć się z kontrolami licznych organów państwowych, które sprawdzają poszczególne obszary jego działalności. Taka kontrolę może przeprowadzić również Generalny Inspektor Ochrony Danych Osobowych…

Sprzedawca internetowy, jak każdy przedsiębiorca, musi liczyć się z kontrolami licznych organów państwowych, które sprawdzają poszczególne obszary jego działalności. Taka kontrolę może przeprowadzić również Generalny Inspektor Ochrony Danych Osobowych, który przeanalizuje poprawność zbierania i przechowywania danych osobowych klientów.

fot. Fotolia

O ile z kontrolami Urzędu Skarbowego czy Zakładu Ubezpieczeń Społecznych większość sprzedawców internetowych jest zaznajomiona, to wizyta Inspektora Ochrony Danych Osobowych dla większości jest zupełną nowością. Warto jednak zawczasu przygotować się do takiej kontroli, ponieważ kontrolerzy nie muszą uprzedzać o swojej wizycie, a jeśli już o tym informują, to zwykle zaledwie kilka dni przed wizytą.

Czym jest GIODO?

GIODO – Generalny Inspektor Danych Osobowych to instytucja, która stoi na straży odpowiedniego użytkowania danych osobowych, czyli informacji dotyczących możliwej do zidentyfikowania osoby fizycznej. Takie dane posiada większość przedsiębiorców, ponieważ praktycznie przy każdej transakcji, sprzedaży czy usłudze, takie dane są udostępniane (chociażby w celu przesłania przedmiotu). Sprawdzaniem, czy uzyskane informacje są wykorzystywane zgodnie z prawem i dobrem konsumenta, zajmuje się właśnie GIODO.

GIODO w sklepie internetowym

Sklep internetowy z racji charakterystyki prowadzonej działalności musi zbierać dane klientów. Posiadanie bazy informacji o osobach fizycznych musi zostać zgłoszone do GIODO.

O rejestracji zbiorów danych osobowych w GIODO krok po kroku przeczytasz tutaj

Oprócz zgłoszenia faktu posiadania bazy danych, sprzedawca internetowy musi zadbać o odpowiednią politykę prywatności, w której poinformuje o tym, jakie informacje są zbierane i w jakim celu. Oprócz tego polityka prywatności musi zawierać informacje o sposobie przechowywania danych, ich zabezpieczeniu i sposobie kontaktowania się właściciela sklepu z klientem. W skład polityki prywatności wchodzi również komunikat o używaniu plików cookies. Od 22 marca 2013 roku na stronie internetowej musi znajdować się widoczna informacja o wykorzystaniu plików cookies i odnośnikiem do pełnej polityki prywatności. Może to sprawdzić oprócz GIODO również Urząd Kontroli Elektronicznej, dlatego nie można pomijać tego elementu witryny.

Jak przebiega kontrola?

Po nowelizacji Ustawy o ochronie danych osobowych w marcu 2011 roku kontrolerzy GIODO zyskali tytuł wykonawczy do karania finansowego przedsiębiorców. O dacie samej kontroli urząd nie ma obowiązku informować wcześniej, ale zwykle robi to kilka dni przed wizytą inspektora, aby dać możliwość przygotowania wszystkich niezbędnych dokumentów i usprawnienia przebiegu wizytacji. Oprócz inspektora, którym jest zwykle prawnik, w kontroli bierze również udział informatyk, który sprawdza systemy komputerowe i bazy cyfrowe. Mogą pojawić się w siedzibie firmy w godzinach od 6 do 22, ale praktyka podpowiada, że będą raczej działać w czasie funkcjonowania urzędu, czyli 8-16. Warto pamiętać, że przedsiębiorca ma obowiązek udostępnić inspektorowi wszystkie niezbędne do kontroli dokumenty i ułatwić mu pracę.

Podczas kontroli inspektor będzie zwracał uwagę na odpowiednie zastosowanie się do wymogów Ustawy o ochronie danych osobowych. Informacje o klientach powinny być odpowiednio zabezpieczone fizycznie, aby uniemożliwić dostęp do nich osobom niepowołanym, nie mogą być też wyrzucane bez uprzedniego zniszczenia. Trzeba również pamiętać o ewidencji osób upoważnionych do przetwarzania danych oraz umowie powierzenia danych osobowych, jeśli obsługą danych zajmuje się firma zewnętrzna.

W przypadku niespełnienia stawianych przez ustawodawcę wymagać, kontrolerzy mogą nałożyć karę grzywny do 10 tys. dla osób fizycznych i 40 tys. dla osób prawnych. Jeśli jednak przetwarzane są dane, do których nie ma upoważnienia lub ich przetwarzanie jest niedozwolone, to zastosowana może być nawet kara pozbawienia wolności do lat 2. Jeśli w dodatku będą to dane wrażliwe, szczególnie chronione, jak np. o poglądach politycznych, przekonaniach religijnych czy wyrokach sądowych, to kara ta może się zwiększyć o dodatkowy rok.

Rafał Bugajski

Przedsiębiorca, współzałożyciel CentrumSprzedawcy.pl i grupy serwisów prawnych, m.in. wyszukiwarki klauzul niedozwolonych KlauzuleNiedozwolone.pl. Absolwent prestiżowej uczelni zarządzania ESCP Europe w Londynie i Paryżu.