Partner: Logo KobietaXL.pl

Każdy przedsiębiorca, a jest nim także podmiot prowadzący sklep internetowy, powinien przestrzegać przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Stosuje się je bowiem m.in. do osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, bądź w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.

Przepisy powołanej ustawy (art. 40) co do zasady zobowiązują do rejestracji zbioru danych u Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Stosownie do art. 7 pkt 1 tej ustawy, zbiorem danych jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

Warto jednak zaznaczyć, że istnieją okoliczności zwalniające administratorów danych z obowiązku zgłoszenia zbioru danych do rejestracji. Określa je art. 43 ust. 1 i 1a ustawy.

Na tej podstawie rejestracji nie podlegają m.in. zbiory tworzone w związku z zatrudnieniem lub zawierające dane wykorzystywane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Przy czym zwolnienie zbioru danych z rejestracji jest możliwe tylko wówczas, gdy którakolwiek ze wskazanych w art. 43 ust. 1 ustawy przesłanek dotyczy wszystkich danych zawartych w zbiorze. Jeżeli zatem w ramach tworzonych zbiorów, przetwarzane są, choćby incydentalnie, dane inne, niż te wymienione w art. 43 ust. 1 ustawy bądź w innym celu niż wskazany w tym przepisie, to zbiór podlega obowiązkowi zgłoszenia do rejestracji.

Należy zaznaczyć, że od 1 stycznia 2015 r. na mocy znowelizowanych przepisów ustawy o ochronie danych osobowych z obowiązku rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane szczególnie chronione, a więc m.in. dane o stanie zdrowia czy nałogach bądź życiu seksualnym, zwolnieni są ci administratorzy danych, którzy powołali administratora bezpieczeństwa informacji (ABI) i zgłosili go GIODO do rejestracji. To bowiem do obowiązków ABI, zgodnie z art. 36a ust. 2 pkt. 2 ustawy, należyprowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, które są zwolnione z obowiązku rejestracji na mocy art. 43 ust. 1.

Jeśli zaś administrator danych nie powoła ABI, to ważne jest, by ustalił, czy jest zobowiązany dokonać rejestracji zbiorów danych osobowych, czy może istnieją przesłanki zwalniające go z tego obowiązku.

Zgłoszenie zbioru do rejestracji jest bezpłatne i powinno nastąpić przed rozpoczęciem przetwarzania danych, a więc przed pierwszą czynnością, którą administrator może wykonać na danych, tj. przed pozyskaniem pierwszych danych do zbioru (zgodnie z art. 46 ust. 1 ustawy o ochronie danych osobowych). Natomiast, jeśli przedsiębiorca miałby przetwarzać także dane tzw. szczególnie chronione (o których mowa w art. 27 ust. 1 omawianej ustawy, np. dane o stanie zdrowia), wówczas mógłby zacząć ich przetwarzanie dopiero po zarejestrowaniu zbioru, chyba że byłby z tego obowiązku zwolniony na mocy ustawy (art. 46 ust. 2 ustawy o ochronie danych osobowych).

Administrator ma obowiązek zawrzeć w zgłoszeniu wszystkie informacje o prowadzonym przez siebie zbiorze danych osobowych, które zostały określone w art. 41 ust. 1 ustawy o ochronie danych osobowych. Na informacje te składa się m.in.: oznaczenie administratora danych, zakres przetwarzanych w zbiorze danych o osobach oraz podstawa prawna, która upoważnia administratora danych do prowadzenia przedmiotowego zbioru, jak również cel przetwarzania danych i opis kategorii osób, których te dane dotyczą, opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39 ustawy, informacja o sposobie wypełnienia warunków technicznych i organizacyjnych określonych w przepisach, o których mowa w art. 39a ustawy o ochronie danych osobowych. Powyższe informacje należy podać w sposób określony w rozporządzeniu wykonawczym do ustawy o ochronie danych osobowych, tj. na formularzu, który stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, a nie w jakikolwiek inny sposób.

Zgłoszenie zbioru danych do rejestracji nie oznacza przesyłania danych osobowych, które stanowią jego zawartość, ani dokumentów potwierdzających zawarte w nim oświadczenia (np. polityki bezpieczeństwa). Generalny Inspektor Ochrony Danych Osobowych nie przetwarza danych osobowych gromadzonych w ramach zbiorów danych, podlegających obowiązkowi rejestracji, a jedynie dysponuje informacjami o takich zbiorach.

Zgłaszając zbiór do rejestracji administrator danych powinien również pamiętać, iż w formularzu zgłoszenia zbioru danych do rejestracji należy podać tylko informacje o jednym zbiorze danych osobowych, czyli jedno zgłoszenie powinno obejmować jeden zbiór danych osobowych.

Administrator danych może przesłać zgłoszenie za pośrednictwem poczty bądź złożyć w Biurze GIODO (ul. Stawki 2, 00-193 Warszawa). Od lipca 2006 r. zgłoszenia można dokonać także drogą elektroniczną z użyciem bezpiecznego podpisu elektronicznego. Zgłoszenia można również dokonać drogą elektroniczną bez użycia podpisu elektronicznego, a następnie uzupełnić zgłoszenie w formie papierowej. Aplikacja umożliwiająca skuteczne dokonanie zgłoszenia drogą elektroniczną znajduje się na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych w systemie "platforma e-giodo".

Dzięki dostępnemu na stronie internetowej GIODO specjalnemu programowi wspomagającemu wypełnianie zgłoszenia, który m.in. wymusza podanie wszystkich informacji, jakie zgodnie z przepisami powinny się w nim znaleźć, rejestracja zbioru jest prosta. Ponadto program, dzięki systemowi podpowiedzi i komunikatów, ogranicza możliwość podania informacji nieprecyzyjnych lub sprzecznych.

Jednocześnie informuję, że cała procedura zgłaszania zbiorów danych – opisana krok po kroku – została przedstawiona na stronie internetowej GIODO w materiałach dostępnych pod linkiem http://www.giodo.gov.pl/530/id_art/2688 oraz http://www.giodo.gov.pl/1520227/j/pl.

Jednocześnie podkreślić należy, że model wstępnej kontroli operacji przetwarzania (zgłaszania zbiorów danych do rejestracji), z jakim obecnie mamy do czynienia, przejdzie do historii 25 maja 2018 r., czyli z chwilą rozpoczęcia stosowania unijnego, ogólnego rozporządzenia o ochronie danych osobowych (RODO). W miejsce dotychczasowego obowiązku rejestracyjnego RODO wprowadza bowiem - jako elementy nowej procedury opartej na ocenie ryzyka planowanych operacji przetwarzania danych osobowych - nowe rozwiązania: ocenę skutków przetwarzania dla ochrony danych osobowych (art. 35) oraz uprzednie konsultacje z organem nadzorczym (art. 36). Przepisy RODO, znosząc ogólny obowiązek zawiadamiania organu o przetwarzaniu danych osobowych, koncentrują się na tych operacjach przetwarzania danych, które ze względu na swój charakter, zakres, kontekst i cele mogą powodować wysokie ryzyko naruszenia praw i wolności osób, których dotyczą. W nowym stanie prawnym ewidentnie wzrośnie rola administratora danych jako aktywnego podmiotu, na którym ciąży obowiązek zdefiniowania zagrożeń i podjęcia działań w celu ich wyeliminowania.

W sytuacji gdy ryzyko zagrożenia bezpieczeństwa danych będzie wysokie, a analiza ryzyka potwierdzi duże prawdopodobieństwo zaistnienia negatywnych skutków dla prywatności, wówczas administrator zobowiązany będzie skonsultować się z organem nadzorczym w zakresie ochrony danych osobowych (w Polsce - GIODO), w celu zminimalizowania ryzyka.

Zgodnie z RODO, organ nadzorczy ustanowi i poda do publicznej wiadomości wykaz rodzajów operacji przetwarzania, które podlegają wymogowi oceny skutków dla ochrony danych (lub wykaz operacji niepodlegających temu wymogowi). RODO precyzuje, że są to w szczególności operacje na danych z użyciem nowych technologii, polegające na systematycznej, kompleksowej ocenie czynników osobowych (np. profilowaniu), które są podstawą decyzji wywołującej skutki prawne wobec osoby fizycznej lub w podobny sposób wpływające na osobę fizyczną. Do operacji przetwarzania, które wymagają oceny ryzyka, należy także przetwarzanie na dużą skalę szczególnych kategorii danych.

Jeśli administrator uzna, że przeprowadzona ocena potwierdza wysokie ryzyko dla ochrony danych osobowych i niezbędne jest zastosowanie środków minimalizujących zagrożenie, to konsultuje się z organem nadzorczym w sposób określony w RODO.

Najistotniejszą różnicą w stosunku do dotychczasowej procedury zgłaszania zbiorów danych do rejestracji będzie obowiązek dołączenia do wniosku o konsultacje oceny skutków przetwarzania dla prywatności osób, których dane dotyczą.

Ocena przeprowadzana przez administratora danych przed rozpoczęciem przetwarzania będzie musiała zawierać co najmniej:

  • systematyczny opis planowanych operacji i ich celów,
  • ocenę, czy planowane operacje przetwarzania są niezbędne i proporcjonalne do celów,
  • ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
  • charakterystykę planowanych środków zaradczych, które mają zapewnić ochronę danych osobowych i wykazać przestrzeganie rozporządzenia ogólnego.

Gdy organ nadzorczy będzie zdania, że przetwarzanie stanowiłoby naruszenie RODO, to na piśmie zaleci administratorowi określone działania i będzie mógł skorzystać z uprawnień, o których mowa w art. 58 RODO, czyli np. nakazać dostosowanie operacji przetwarzania do przepisów RODO, wydać ostrzeżenie dotyczące możliwości naruszenia przepisów poprzez planowane operacje na danych, wprowadzić czasowe lub całkowite ograniczenie przetwarzania (w tym zakazać przetwarzania danych), lub nałożyć karę pieniężną w zależności od okoliczności sprawy.

Obecnie GIODO, jeśli naruszone są zasady przetwarzania, ma obowiązek stosowania uprawnień władczych (wydaje decyzję o odmowie rejestracji zbioru ze stosownymi nakazami), nie stosuje zaś uprawnień doradczych, jak udzielanie porad zgodnie z przewidzianą w RODO procedurą uprzednich konsultacji.

Z powyższego, bardzo syntetycznego porównania obowiązku zgłaszania do rejestracji GIODO zbiorów danych oraz procedury oceny ryzyka i konsultacji z organem nadzorczym przed rozpoczęciem przetwarzania danych można wywnioskować, że określony w RODO sposób konsultacji z organem przed rozpoczęciem przetwarzania danych w przypadku szczególnie niebezpiecznych operacji przetwarzania zawiera pewne formalne podobieństwa do obowiązku zgłoszenia zbioru do rejestracji organowi nadzorczemu i kontroli wstępnej dokonywanej przez organ, wynikającej z ustawy o ochronie danych osobowych. Jednak podejście do kwestii bezpieczeństwa danych zmienia się w istotny sposób. W RODO przyjęto bowiem zasadę risk based approach opartą na analizie ryzyka. RODO kładzie szczególny nacisk na samokontrolę administratora danych i realizację zasady uwzględniania ochrony danych w fazie projektowania (privacy by design). Administrator danych będzie zobowiązany ocenić, czy i w jaki sposób planowany rodzaj przetwarzania danych wpłynie na prywatność osób, których dane dotyczą, oraz czy zagrożenie jest duże. Będzie także zobowiązany zastosować konkretne rozwiązania, które w jego ocenie wyłączą lub zminimalizują ryzyko. Organ nadzoru zweryfikuje skuteczność działań administratora i wyda w razie potrzeby pisemne zalecenia - może też zastosować bardziej dolegliwe środki. Procedura uprzednich konsultacji i poprzedzającej ją oceny ryzyka jest dedykowana szczególnie skomplikowanym i zagrażającym prywatności operacjom przetwarzania danych, odbywającym się z użyciem innowacyjnych technologii, i zastępuje ogólny obowiązek rejestracyjny.

Tagi:

prawo ,  internet ,  sklep internetowy , 

Kliknij, aby zamknąć artykuł i wrócić do strony głównej.

Polecane artykuły:

Podobne artykuły:

Powrót