Czy sklep internetowy musi rejestrować zbiór danych osobowych w GIODO?

Aby odpowiedzieć na to pytanie, należy najpierw zastanowić się, czym jest zbiór danych osobowych i kiedy należy go rejestrować w GIODO. Z pomocą przychodzi nam, jak zwykle, obowiązująca Ustawa o ochronie danych osobowych. Według niej “zbiór danych oznacza każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnym według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”. Mówiąc prościej: zbiór danych jest to zestaw informacji o danej osobie, pozwalający na zidentyfikowanie jej. Każdy zbiór danych powinien być  zgłoszony przez administratora danych osobowych do rejestru zbiorów prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych przed rozpoczęciem przetwarzania danych w zbiorze.

Z obowiązku rejestracji zbiorów danych zwolnieni są administratorzy danych:

  • objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego;
  • które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności;
  • przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym;
  • przetwarzanych przez Generalnego Inspektora Informacji Finansowej;
  • dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego;
  • przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się;
  • dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta;
  • tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego;
  • dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności;
  • przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
  • powszechnie dostępnych;
  • przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego;
  • przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

Zgodnie z tym co zostało napisane powyżej baza klientów sklepu internetowego stanowi zbiór danych w rozumieniu ustawy o ochronie danych osobowych, który powinien zostać zgłoszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Należy przy tym pamiętać, iż taki zbiór powinien być zgłoszony przed rozpoczęciem sprzedaży. W większości przypadków, aby towary zakupione w sklepie internetowym mogły trafić do  kupującego, musi on podać swoje dane personalne wraz z adresem zamieszkania. Takie dane powodują, iż kupującego łatwo jest zidentyfikować, a co za tym idzie – Ustawa o ochronie danych osobowych chroni go i daje mu określone w tej ustawie prawa (np.: wgląd do danych o sobie, edycja swoich danych lub usunięcie danych o sobie itd.). Sytuacja ta nakłada również pewne obowiązki na właściciela sklepu (administratora danych) i nie jest to tylko obowiązek rejestracji zbioru, ale także obowiązek zabezpieczenia tych danych przed wyciekiem i respektowania praw osób, których dane są przetwarzane.

Nałożenie na administratorów danych obowiązku rejestracji, umożliwia Generalnemu Inspektorowi sprawowanie kontroli nad prawidłowością procesu przetwarzania danych osobowych. W postępowaniu prowadzonym przez Generalnego Inspektora, w związku ze zgłoszeniem zbioru do rejestracji przez administratora danych, należy w szczególności ustalić, czy administrator, przetwarzając dane osobowe, przestrzega zasad ochrony danych osobowych określonych przepisami ustawy i czy prawidłowo zabezpieczył dane w zbiorze, zgodnie z przepisami prawa regulującymi kwestie zabezpieczeń. Rejestracja zbiorów danych, a ściślej: upublicznianie w rejestrze zbiorów danych osobowych, prowadzonym przez Generalnego Inspektora, informacji o zbiorach danych wpisanych do tego rejestru, tworzy także korzystne warunki do sprawowania indywidualnej kontroli przetwarzania danych przez samych zainteresowanych, tj. osoby, których dane są przetwarzane w zbiorach wpisanych do rejestru.

Zobacz również:

Leave a Comment

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.