spis treści
zamknij
BHPEX Logo

Blog bezpieczeństwa w pracy

Sklep internetowy – obowiązki firmy związane z przetwarzaniem danych osobowych

19 sierpnia 2016 5

Oświadczenie klienta sklepu internetowego o wyrażeniu zgody na przetwarzanie jego danych osobowych nie zastępuje obowiązku rejestracji zbioru danych w GIODO. Właściciel sklepu powinien, albo zarejestrować zbiór danych w GIODO, albo powołać i zarejestrować w GIODO administratora bezpieczeństwa informacji, który będzie prowadził wewnętrzny, jawny rejestr zbiorów danych przetwarzanych w firmie.

Przetwarzanie danych w celu wystawienia rachunku, faktury lub sprawozdawczości

Jednym z wyjątków, gdy zbiorów danych nie trzeba rejestrować, jest sytuacja, gdy dane są przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Na ten wyjątek właściciel sklepu nie może się jednak powoływać. Będzie bowiem wykorzystywał dane nie tylko w tym celu, ale również do realizacji i obsługi posprzedażowej zamówień. W przypadku sklepów internetowych częste jest też wykorzystywanie danych w celach marketingowych.

Ochrona danych osobowych w sklepie internetowym

Jak wyjaśnia GIODO, baza klientów sklepu internetowego stanowi zbiór danych w rozumieniu ustawy o ochronie danych osobowych. Powinien on zostać zgłoszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Jeśli dane osobowe klientów sklepu internetowego przetwarza się w różnych celach, jak np.:

  • realizacja zamówień klientów sklepu internetowego,
  • prowadzenie statystyk,
  • marketing,
  • prowadzenie bazy umów cywilnoprawnych,

to taka baza danych osobowych zawiera faktycznie kilka zbiorów danych prowadzonych w różnych celach. Dlatego każdy zbiór powinien zdaniem GIODO zostać zgłoszony na oddzielnym formularzu zgłoszeniowym. Zostanie w nim uwzględniony odpowiedni zakres danych osobowych oraz cel, dla jakiego są one przetwarzane.

Rejestrowania zbioru danych w GIODO można uniknąć, jeśli powoła się konkretną osobę na funkcję administratora bezpieczeństwa informacji (ABI) i zarejestruje ABI w GIODO. Wówczas to ABI prowadzi zbiór danych osobowych.

Oświadczenie klienta a zwolnienie z rejestracji zbioru danych

Oświadczenie klienta o wyrażeniu zgody na wykorzystanie jego danych osobowych nie zwalnia z obowiązku rejestracji zbioru danych. Zgoda na przetwarzanie danych może decydować o tym, czy w określonym przypadku dane mogą w ogóle znajdować się w zbiorze danych. Zgoda na przetwarzanie danych nie zawsze jest jednak konieczna. Z art. 23 ustawy o ochronie danych osobowych wynika, że przetwarzanie danych osobowych jest legalne również wtedy, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Można wówczas przetwarzać dane osobowe w tym celu nawet bez uzyskania zgody.

Przy przetwarzaniu danych osobowych trzeba pamiętać o szeregu obowiązków – m. in. o obowiązkach informacyjnych z art. 24 ustawy. Chodzi tu o obowiązek poinformowania osoby, której dane są zbierane, o:

  • swoim adresie,
  • imieniu i nazwisku,
  • nazwie,
  • celu zbierania danych,
  • prawie dostępu do treści swoich danych oraz ich poprawiania.

Również należy poinformować o dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Komentarze (5)

Treść komentarza

Rzeczywiście to nie jest takie proste. Wymaga to ogromnej wiedzy na temat zabezpieczeń, skomplikowanych kodów programowania i oczywiście wiarygodności 😛

Treść komentarza

Dlatego w szanowanych firmach nie zatrudnia się „specjalistów” z łapanki 😉 A jeżeli chodzi o to że należy należy poinformować o dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej to chyba osoba korzystająca z usługi sklepu internetowego sama jest tego świadoma 🙂

Treść komentarza

Obowiązki firmy związane z przetwarzaniem danych osobowych, są zagmatwane i ludzie próbują szukać jakichś ominięć tak jak w związku z 8 punktem art 43 który przecież mówi iż przetwarzanych wyłącznie w celu wystawienia faktury, rachunku nie muszą rejestrować zbiorów podejmują błędną decyzję o rezygnacji z rejestracji zbioru.

Dodaj komentarz