Sklepy internetowe w Polsce są coraz popularniejsze. Jak pokazuje raport GEMIUS „E-commerce w Polsce 2015”, już ponad połowa Polaków co najmniej raz w życiu zrobiła zakupy online. Jednakże otwierając sklep internetowy ich właściciele często nie biorą pod uwagę wszystkich obowiązków, które przyjdzie im spełnić, przez co pojawia się wiele wątpliwości. Jedną z nich jest zgłoszenie bazy danych osobowych do GIODO, dlatego poniżej omówimy ten temat.

Materiał bonusowy: Pobierz nasz ebook i zadbaj o prawną stronę swojego sklepu internetowego!

Obecnie liczbę sklepów internetowych w Polsce szacuje się na ok. 15 tysięcy. Rynek e-commerce w naszym kraju rozwija się w bardzo dynamicznym tempie, dlatego w najbliższym czasie liczba e-sklepów będzie ciągle rosnąć. Ze względu na popularność biznesu e-commerce, często jest to łatwy kąsek dla początkujących sprzedawców internetowych, ze względu na niższy próg wejścia. Jednak problemy, które z czasem się pojawiają przez niedokładne opracowanie strategii, nieświadomość lub niewiedzę sprawiają, że część elektronicznych biznesów upada.

Kilka słów o GIODO

GIODO, czyli Generalny Inspektor Ochrony Danych Osobowych to organ do spraw ochrony danych osobowych działający na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Od 22 kwietnia 2015 roku tę funkcję sprawuje Edyta Bielak-Jomaa – doktor nauk prawnych. Jeszcze do niedawna każdy sklep internetowy musiał zgłaszać bazy danych osobowych do GIODO, jednak to zmieniło się 1 stycznia 2015 roku, wraz z nowelizacją ustawy o ochronie danych osobowych.

Czym są dane osobowe i czy sklep internetowy je przetwarza?

Art. 6 ustawy o ochronie danych osobowych mówi, że “dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Kolejny artykuł tej ustawy dokładnie precyzuje, co należy rozumieć przez zbiór danych, stanowiąc, że “jest to każdy, posiadający strukturę, zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”.
Biorąc pod uwagę charakter działalności sklepów internetowych i dane, którymi obracają, należy powiedzieć jasno – bez wątpienia są to dane osobowe. Mowa tu chociażby o danych niezbędnych do wysyłki towaru (imię, nazwisko czy adres), dzięki którym z łatwością można zidentyfikować klientów.

Czy sklep musi zgłaszać bazy danych osobowych do GIODO?

Biorąc pod uwagę powyższą zmianę przepisów, odpowiedź brzmi – NIE. Na tym jednak nie można poprzestać, bo na sklepach internetowych ciążą inne obowiązki związane z GIODO. Od 1 stycznia 2015 cała procedura rejestracji została uproszczona, dzięki czemu sklep internetowy ma obowiązek jedynie powołać Administratora Bezpieczeństwa Informacji (w skrócie – ABI-ego).
Nowelizacja ustawy o ochronie danych osobowych została wprowadzona w celu poprawienia warunków prowadzenia działalności gospodarczej, poprzez ograniczenie biurokracji. Ta zmiana wychodzi naprzeciw administratorom sklepów internetowych i pozwala uniknąć obowiązku zgłoszenia baz danych do GIODO.

ABI wystarczy – nie musisz rejestrować zbiorów

Wspomniana już nowelizacja przewiduje możliwość powołania Administratora Bezpieczeństwa Informacji, co i tak wiąże się z koniecznością zgłoszenia tego faktu do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Warto jednak wiedzieć, że samo zgłoszenie powołania ABI-ego do rejestru GIODO zwalnia właściciela e-sklepu z konieczności rejestracji zbiorów danych osobowych do GIODO – zazwyczaj, o czym za moment.

Należy jednak pamiętać, aby nie podejmować decyzji o powołaniu ABI-ego pochopnie. Możliwość zwolnienia z obowiązku rejestracji zbiorów do GIODO jest kusząca, jednak powinieneś wiedzieć, że powołanie ABI-ego, to nie tylko przywileje, ale także obowiązki. Głównym zadaniem ABI-ego jest zapewnianie przestrzegania przepisów o ochronie danych osobowych w e-sklepie.
Powołanie ABI-ego należy zatem w każdym sklepie internetowym rozważyć indywidualnie. Są przedsiębiorcy, którym takie rozwiązanie się opłaci, lecz czasem lepszą decyzją będzie funkcjonowanie bez formalnie powołanego Administratora Bezpieczeństwa Informacji.

Czy powołanie ABI-ego zawsze oznacza zwolnienie z rejestracji zbioru?

Warto również wiedzieć, że nie za każdym razem powołanie ABI-ego wiąże się z całkowitym zwolnieniem z rejestracji zbioru do GIODO. Ustawa o ochronie danych osobowych wspomina również o pewnej kategorii danych, które nazywane są “danymi wrażliwymi”. To dane “ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.”
Oczywiście, jest małe prawdopodobieństwo, że prowadząc sklep internetowy przetwarzasz wymienione wyżej “dane wrażliwe”, jednak jeśli jakimś sposobem ma to miejsce – powołanie ABI-ego nie wystarczy do zwolnienia zbioru do rejestracji w GIODO.

Czy wszystkie dane klientów to jeden zbiór?

Niestety, kwestia zbiorów danych osobowych jest o tyle wrażliwa, że każdy z nich, służący do innych celów (np. marketingowych, statystycznych, realizacji umowy sprzedaży) powinien być złożony na oddzielnych formularzach. Muszą one uwzględniać odpowiedni zakres przetwarzania danych osobowych oraz cel tego działania. Należy zwrócić na to uwagę również w przypadku powołania ABI-ego – cel przetwarzania danych jest tutaj kluczowy.

Ważna decyzja jest po Twojej stronie

W celu bezpiecznego prowadzenia sklepu internetowego należy rozstrzygnąć kwestię rejestracji zbiorów czy też powołania ABI-ego. Przed podjęciem decyzji warto skierować się do fachowca, który zaproponuje rozwiązanie odpowiednie dla danego sklepu internetowego.

Średnia 2.5 (4 głosów)
[Głosów:4    Średnia:2.5/5]

Dawid Bugajski

Jestem radcą prawnym i pomagam przedsiębiorcom w rozwijaniu ich działalności oraz zabezpieczaniu ich interesów. Cenię sobie szybkość działania, wysoką jakość świadczonych usług oraz zadowolenie Klienta. Na co dzień zapewniam wsparcie prawne w serwisie Prokonsumencki.pl.