DANE OSOBOWE – czyli jaka informacja może być uznana za dane osobowe
Pojęcie danych osobowych często utożsamiane jest z imieniem i nazwiskiem, adresem zamieszkania czy numerem Pesel. Należy jednak pamiętać, że pod pojęciem danych osobowych kryją się jeszcze inne informacje, które w świetle prawa uznawane są za dane osobowe.
Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, pod pojęciem danych osobowych rozumie informacje, które identyfikują osobę fizyczną lub pozwalają ją zidentyfikować. Rozkładając powyższą definicję na „czynniki pierwsze” należy zwrócić uwagę na:
- pojęcie informacji, czyli komunikatu wyrażonego i zapisanego w jakikolwiek sposób, a tj. znakami graficznymi, symbolami, na fotografii etc. Ustawa mówi o wszelkich informacjach, czyli takich które odnoszą się do każdego aspektu osoby fizycznej, tj. do jej życia prywatnego, zawodowego, stosunków osobistych i rzeczowych. Aby zatem określone informacje mogły zostać uznane za dane osobowe muszą one spełniać dwa warunki:
- dotyczyć osoby fizycznej,
- identyfikować daną osobę fizyczną, lub umożliwić jej identyfikację.
Prowadząc sklep internetowy należy pamiętać, że również adres IP uznawany jest za dane osobowe, w sytuacji gdy jest on przypisany na dłuższy okres czasu lub na stałe do konkretnego urządzenia, a urządzenie jest przypisane konkretnemu użytkownikowi.
NIE POZWÓL NA WYCIEK DANYCH OSOBOWYCH SWOICH KLIENTÓW – czyli zabezpieczenie danych w sieci
Z przetwarzaniem danych osobowych spotykamy się w branży handlu elektronicznego w związku z dokonywanymi transakcjami. Pod pojęciem „przetwarzania danych osobowych” mieszczą się mi.in. gromadzenie, utrwalanie, przechowywanie i udostępnianie danych osobowych. Przedsiębiorcy prowadzący handel elektroniczny muszą dokonać niezbędnych czynności, aby w procesie przetwarzania danych osobowych ich klientów nie zaszła ewentualność ich pozyskania przez podmioty trzecie. W tym celu po stronie profesjonalnych uczestników obrotu rodzi się m.in. obowiązek rejestracji gromadzonego przez nich zbioru/zbiorów danych w GIODO. Ponadto przedsiębiorcy zobowiązani są w za- kresie przetwarzania danych osobowych do wykorzystywania systemów informatycznych spełniających szczególne wymagania określone w postanowieniach rozporządzenia MSWiA z 29.04.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i orga- nizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
ADMINISTRATOR DANYCH OSOBOWYCH – czyli moje obowiązki i uprawnienia względem klientów
Za Administratora Danych Osobowych uznaje się podmiot decydujący o celach i środkach przetwarzania danych osobowych. Pokreślenia należy jednak fakt, że posiadanie przymiotu administratora nie należy utożsamiać z faktycznym posiadaniem danych (hosting), ale sprawowaniem faktycznej kontroli nad przetwarzanymi danymi osobowymi. Podmiot jedynie administrujący danymi osobowymi nie będzie zatem Administratorem Danych Osobowych.
Na Administratorze Danych Osobowych ciąży szereg obowiązków wynikających z przepisów ustawy, które to wiążą się nie tylko z obowiązkiem zgłoszenia zbioru danych do GIODO, ale także zabezpieczeniem danych osobowych swoich klientów, które są przetwarzane w związku m.in. z realizacją umowy.
OBOWIĄZEK CZY DOBROWOLNOŚĆ ZGŁOSZENIA ZBIORU DANYCH DO GIODO – czyli czy Ciebie też to dotyczy
Każdy przedsiębiorca prowadzący sklep internetowy ma obowiązek zgłoszenia zbioru danych osobowych do GIODO. Adresatami tego obowiązku są Administratorzy Danych Osobowych, czyli podmioty decydujące o celach i środkach przetwarzania danych osobowych. Zgłoszenie zbioru danych ma jedynie charakter informacyjny i wynika z obowiązku ustawowego, ale nie jest źródłem żadnych praw dla administratora ani też nie oznacza, że przetwarzanie danych osobowych jest zgodne z prawem.
Zaniechanie obowiązku rejestracyjnego zbioru danych niesie ze sobą określone konsekwencje. Przedsiębiorcy w razie przeprowadzonej kontroli przez inspektorów GIODO, mogą zostać obciążeni m.in. karami finansowymi.
Dopełnienie obowiązku ustawowego w postaci zgłoszenia zbioru danych do GIODO nie zabiera wiele czasu, a może uchronić przed konsekwencjami ewentualnych kontroli.
ZBIÓR DANYCH OSOBOWYCH – czyli ile zbiorów danych posiada Twój sklep internetowy
Wielu przedsiębiorcom sklepów internetowych „spędza sen z po- wiek” pojęcie zbioru danych osobowych. Definicja ustawowa wskazuje, że zbiorem danych osobowych jest posiadający strukturę zestaw danych o charakterze osobowym, dostępny wg określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony czy podzielony funkcjonalnie. Baza klientów sklepu internetowego to głownie jeden ze zbiorów danych w rozumieniu ustawy o ochronie danych osobowych. Należy jednak zwrócić uwagę na cele przetwarzanych danych osobowych przez sklepy internetowe. Zdarza się bowiem często, że poza realizacją zamówień przedsiębiorcy branży e-biznesu prowadzą statystyki czy podejmują działania marketingowe, przetwarzając dla tych celów określone dane osobowe. Zatem gromadzona przez sklepy internetowe baza danych osobowych będzie składała się z kilku zbiorów prowadzonych w różnych celach. Każdy zatem zbiór powinien znaleźć się na oddzielnym formularzu zgłoszeniowym w trakcie rejestrowania zbiorów danych w GIODO.
ZGŁOSZENIE ZBIORU DANYCH OSOBOWYCH W 3 KROKACH – czyli krótki instruktaż procesu rejestracji w GIODO
KROK 1. W pierwszej kolejności należy określić ile dany sklep internetowy posiada zbiorów danych – każdy zbiór rejestrowany jest w osobnym wniosku. Pamiętać należy, iż nie podlega rejestracji sama treść zbioru danych lecz należy wskazać jedynie opis zbioru podlegający rejestracji.
KROK 2. Wypełnienie wniosku do GIODO – pobierz wzór wniosku zgłoszeniowego.
KROK 3. Sporządzenie dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych.
HONEST-E w ramach korzystania ze znaku oferuje:
- Konsultacje e-mailowe i telefoniczne,
- wypełnienie i rejestracja wniosku do GIODO.