Sklep internetowy – obowiązki firmy związane z przetwarzaniem danych osobowych
Oświadczenie klienta sklepu internetowego o wyrażeniu zgody na przetwarzanie jego danych osobowych nie zastępuje obowiązku rejestracji zbioru danych w GIODO. Właściciel sklepu powinien, albo zarejestrować zbiór danych w GIODO, albo powołać i zarejestrować w GIODO administratora bezpieczeństwa informacji, który będzie prowadził wewnętrzny, jawny rejestr zbiorów danych przetwarzanych w firmie.
Przetwarzanie danych w celu wystawienia rachunku, faktury lub sprawozdawczości
Jednym z wyjątków, gdy zbiorów danych nie trzeba rejestrować, jest sytuacja, gdy dane są przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Na ten wyjątek właściciel sklepu nie może się jednak powoływać. Będzie bowiem wykorzystywał dane nie tylko w tym celu, ale również do realizacji i obsługi posprzedażowej zamówień. W przypadku sklepów internetowych częste jest też wykorzystywanie danych w celach marketingowych.
Jak wyjaśnia GIODO, baza klientów sklepu internetowego stanowi zbiór danych w rozumieniu ustawy o ochronie danych osobowych. Powinien on zostać zgłoszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Jeśli dane osobowe klientów sklepu internetowego przetwarza się w różnych celach, jak np.:
- realizacja zamówień klientów sklepu internetowego,
- prowadzenie statystyk,
- marketing,
- prowadzenie bazy umów cywilnoprawnych,
to taka baza danych osobowych zawiera faktycznie kilka zbiorów danych prowadzonych w różnych celach. Dlatego każdy zbiór powinien zdaniem GIODO zostać zgłoszony na oddzielnym formularzu zgłoszeniowym. Zostanie w nim uwzględniony odpowiedni zakres danych osobowych oraz cel, dla jakiego są one przetwarzane.
Rejestrowania zbioru danych w GIODO można uniknąć, jeśli powoła się konkretną osobę na funkcję administratora bezpieczeństwa informacji (ABI) i zarejestruje ABI w GIODO. Wówczas to ABI prowadzi zbiór danych osobowych.
Oświadczenie klienta a zwolnienie z rejestracji zbioru danych
Oświadczenie klienta o wyrażeniu zgody na wykorzystanie jego danych osobowych nie zwalnia z obowiązku rejestracji zbioru danych. Zgoda na przetwarzanie danych może decydować o tym, czy w określonym przypadku dane mogą w ogóle znajdować się w zbiorze danych. Zgoda na przetwarzanie danych nie zawsze jest jednak konieczna. Z art. 23 ustawy o ochronie danych osobowych wynika, że przetwarzanie danych osobowych jest legalne również wtedy, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Można wówczas przetwarzać dane osobowe w tym celu nawet bez uzyskania zgody.
Przy przetwarzaniu danych osobowych trzeba pamiętać o szeregu obowiązków – m. in. o obowiązkach informacyjnych z art. 24 ustawy. Chodzi tu o obowiązek poinformowania osoby, której dane są zbierane, o:
- swoim adresie,
- imieniu i nazwisku,
- nazwie,
- celu zbierania danych,
- prawie dostępu do treści swoich danych oraz ich poprawiania.
Również należy poinformować o dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Treść komentarza
Dziwne, u nas w firmie żadnego rejestrowania nie było, tylko powołania.