Sklepy muszą zbierać i wysyłać nasze dane

Osoby prowadzące własne sklepy internetowe czy też profesjonalną sprzedaż poprzez platformy aukcyjne nie zawsze zdają sobie sprawę ze wszystkich obowiązków, jakie wiążą się z takimi transakcjami. Jednym z często pomijanych obowiązków jest właściwa ochrona danych osobowych klientów takiego sklepu, a także obowiązek rejestracji u GIODO zbiorów danych osobowych przetwarzanych przez sprzedawcę.

Kiedy sklep musi dokonać rejestracji u GIODO?

Prowadząc sklep internetowy, sprzedawcy zbierają dane osobowe i stają się tym samym administratorami tych danych. Zbieranie danych następuje np. przy rejestracji, jeżeli jest w danym sklepie wymagana, a także przy składaniu zamówienia.

Ustawa o ochronie danych osobowych w art. 43 zawiera katalog administratorów danych, którzy zwolnieni są z obowiązku rejestrowania u Generalnego Inspektora Ochrony Danych Osobowych określonych zbiorów przetwarzanych danych osobowych. Przykładowo z takiego obowiązku zwolnieni są administratorzy danych w stosunku do danych przetwarzanych w zakresie drobnych bieżących spraw życia codziennego, czy też przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych.

Zdarza się, że sprzedawcy internetowi nie rejestrują zbiorów przetwarzanych danych osobowych powołując się na przepis art. 43 ust. 1 pkt 8 wspomnianej ustawy, który stanowi, że ze zwolnienia z rejestracji u GIODO mogą korzystać administratorzy danych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Rzeczywiście takich zbiorów danych nie trzeba zgłaszać do rejestracji u GIODO. Problem polega jednak na czym innym. Do wystawienia faktury czy też rachunku przedsiębiorca pobiera takie dane, jak np.: imię i nazwisko lub nazwa firmy, adres, NIP. To jednak z reguły nie wszystkie dane. Oprócz tych podstawowych, sprzedawca zbiera również adres e-mail (wykorzystywany do powiadamiania o stanie realizacji zamówienia), numer telefonu, dane niezbędne do wysyłki – adres, czasem również płeć czy datę urodzenia. Taki katalog danych znacząco wykracza poza dane potrzebne do wystawienia faktury czy też rachunku. To zaś oznacza, że zbiory takich danych podlegają zgłoszeniu do GIODO. Co więcej, przedsiębiorca może być zobowiązany do zgłoszenia do rejestracji kilku różnych zbiorów przetwarzanych danych. Jak bowiem wynika z art. 41 omawianej ustawy, jedno zgłoszenie zbioru danych powinno obejmować tylko jeden zbiór danych osobowych. Chodzi o to, że administrator danych we wniosku o wpisanie zbioru do rejestru zbiorów danych osobowych musi m.in. określić cel przetwarzania danych, opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych. Dla różnych zbiorów danych różny będzie zakres ich przetwarzania i cel ich zbiórki, a co za tym idzie – nie można go określić wspólnie w jednym wniosku. Nie można zgłosić jednego zbioru danych klientów e-sklepu wykorzystywanych dla różnych celów, np. realizacji zamówień, prowadzenia statystyk czy marketingu.

Jak dokonać rejestracji?

Zgłoszenia zbioru danych do rejestracji u GIODO dokonuje się poprzez platformę e-GIODO (egiodo.giodo.gov.pl). Jest to system służący do komunikowania się z GIODO w sprawach związanych z rejestracją zbiorów danych osobowych oraz przeglądania prowadzonych przez GIODO: rejestru zbioru danych osobowych oraz rejestru ABI. Wypełniając wniosek zgłoszenia do rejestracji program wymusza podanie wszystkich informacji, które zgodnie z przepisami powinny znaleźć się w zgłoszeniu. Ogranicza też możliwość podania informacji nieprecyzyjnych lub sprzecznych.

Po wypełnieniu formularza wnioskodawca ma możliwość wysłania zgłoszenia drogą elektroniczną, jeśli dysponuje bezpiecznym podpisem elektronicznym. Jeśli takiego podpisu nie ma, to może wysłać zgłoszenie elektronicznie i następnie podpisane dostarczyć osobiście lub wysłać pocztą.


Administrator danych może rozpocząć ich przetwarzanie w zbiorze danych po zgłoszeniu tego zbioru GIODO.

Administrator danych ma obowiązek zgłaszać Generalnemu Inspektorowi każdą zmianę w zakresie informacji określonych w zgłoszeniu (np. gdy zmienił się zakres lub cel, dla jakiego przetwarzane są dane), w terminie 30 dni od dnia dokonania zmiany w zbiorze danych.

Nie ma rejestracji, gdy w firmie jest ABI

Od dnia 1 stycznia 2015 r. administratorzy danych, którzy zdecydują się powołać administratorów bezpieczeństwa informacji i dokonają ich rejestracji w rejestrze ABI prowadzonym przez GIODO, nie muszą zgłaszać do rejestracji u Generalnego Inspektora zbiorów przetwarzanych danych osobowych. W przypadku powołania takiej osoby to ona prowadzi wewnętrzny rejestr przetwarzanych danych (chyba że przetwarzane dane mają charakter wrażliwych, wtedy ich zbiory trzeba rejestrować). Jak jednak wynika z informacji GIODO, firmy nadal rzadko powołują administratorów bezpieczeństwa informacji, zwłaszcza w takich firmach, jak sklepy internetowe.

Stanowisko GIODO odnośnie rejestracji zbiorów danych sklepów internetowych

„(…) skoro dane osobowe klientów sklepu internetowego przetwarzane są w różnych celach, jak np. realizacja zamówień klientów sklepu internetowego, prowadzenie statystyk, marketing, prowadzenie bazy umów cywilnoprawnych, to dla ich realizacji potrzebny będzie różny zakres danych osobowych. Prowadzi to do wniosku, że taka baza danych osobowych zawiera faktycznie kilka zbiorów danych prowadzonych w różnych celach. Dlatego każdy zbiór powinien zostać zgłoszony na oddzielnym formularzu zgłoszeniowym, w którym zostanie uwzględniony odpowiedni zakres danych osobowych oraz cel, dla jakiego są one przetwarzane”.

źródło: www.giodo.gov.pl

Podstawa prawna

Ustawa z dnia 29.08.1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz. 2135 ze zm.)

autor: Marta Stefanowicz – Wasilewska
Gazeta Podatkowa nr 24 (1274) z dnia 2016-03-24

Udostępnij Artykuł