Baza danych w sklepie internetowym a rejestracja do GIODO

Prowadzenie sklepu internetowego oraz sprzedaż na portalach aukcyjnych – sprawdź, kiedy trzeba zarejestrować się w GIODO.

W 2015 r. zmieniły się przepisy dotyczące ochrony danych osobowych. Dotychczas każdy sklep internetowy musiał zgłaszać bazy danych osobowych Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Nowelizacja ustawy zmieniła zasady dotyczące organizacji ochrony danych osobowych, ograniczając biurokrację, ale jednocześnie wprowadzając nowe obowiązki związane z GIODO.

Czym są dane osobowe?

Zgodnie z art. 6 ust. 1 ustawy o ochronie danych osobowych dane osobowe to:

„wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”.

Czy dane niezbędne do wysyłki towaru – takie jak imię i nazwisko klienta oraz jego adres – można uznać za dane osobowe? Według prawa danymi osobowymi nie są pojedyncze informacje o dużym stopniu ogólności, np. nazwa ulicy i numer domu, ale jeśli takie informacje są zestawione z dodatkowymi informacjami, które pozwalają na zidentyfikowanie konkretnej osoby (np. imię i nazwisko), to wówczas mamy do czynienia z danymi osobowymi. Dane do wysyłki towaru należy więc traktować jako dane osobowe.

Sklep internetowy a rejestracja w GIODO

Od 2015 r. sklepy internetowe nie muszą zgłaszać bazy danych do GIODO. Warunkiem jest, aby w zbiorach tych nie były przetwarzane tzw. dane szczególnie chronione, o których mowa w art. 27 ust. 1 ustawy, a więc np. informacje o związku, nałogach, orientacji. Na administratorów tych danych ustawa nakłada bardziej rygorystyczne obowiązki niż na administratorów danych „zwykłych”.

Zamiast rejestracji bazy danych w GIODO sklep internetowy może powołać Administratora Bezpieczeństwa Informacji, tzw. ABI-ego, którego zadaniem będzie zadbanie o prawidłowe przetwarzanie danych i przestrzeganie przepisów o ochronie danych osobowych.

Jednak bez kontaktu z GIODO i tak się nie obejdzie – powołanie ABI-ego i tak należy zgłosić Generalnemu Inspektorowi Ochrony Danych Osobowych. Zgłoszenia powołania ABI dokonuje się przy użyciu odpowiednich formularzy, a zgłoszeni do rejestracji są wpisywani do prowadzonego przez GIODO ogólnokrajowego, jawnego rejestru ABI (art. 46c u.o.d.o.). Rejestr zawiera takie dane jak imię, nazwisko i adres ABI.

Powołanie ABI jest dobrowolne. Jeśli przedsiębiorca chce, może nie korzystać z prawa do zwolnienia z obowiazku rejestracji zbiorów danych w GIODO, ale nie musi. Warto przy tym pamiętać, że dotychczasowe obowiązki administratora danych się nie zmieniają – nadal jest on odpowiedzialny za właściwe, zgodne z prawem zorganizowanie procesu przetwarzania danych osobowych.

Sprzedaż na portalach aukcyjnych i newslettery

Przedsiębiorcę prowadzącego sprzedaż na portalach aukcyjnych, będącego w posiadaniu danych klientów, które przetwarza w celu zawarcia umowy lub wysłania im towaru, również uważa się za administratora danych. Tak jak właściciel sklepu internetowego powinien on więc powołać ABI lub zarejestrować bazę danych w GIODO.

Jeśli sklepy internetowe i przedsiębiorcy dokonujący sprzedaży na portalach aukcynych przetwarzają dane klientów w celach marketingowych, np. aby wysłać im newsletter lub informację handlową, to wówczas zobligowani są do zgłoszenia zbioru danych do GIODO.

Przepisom dotyczącym ochrony danych osobowych podlegają zarówno osoby fizyczne, jak i osoby prawne, jeśli tylko przetwarzają dane osobowe w związku z działalnością zarobkową lub zawodową.