Ostatnio bezpłatny audyt zamówiono minut temu

Zadzwoń do naszego konsultanta
phone
lub napisz email

GIODO – co to właściwie oznacza?

GIODO – co to właściwie oznacza?

Generalny Inspektor Danych Osobowych, w skrócie GIODO, to stanowisko powołane przede wszystkim w celu kontroli zgodności procedur przetwarzania danych osobowych oraz prowadzenia ewidencji zarejestrowanych zbiorów tego rodzaju danych.

Aby przybliżyć kompetencje tego urzędu oraz obowiązki nakładane przez niego na przedsiębiorców przygotowaliśmy cykl artykułów – rozpoczynamy od podstaw, czyli wyjaśnienia najważniejszych pojęć. Zapraszamy do lektury!

 

Dane osobowe – definicja i zakres pojęcia

Podstawowym pojęciem, jakie należy wyjaśnić to same “dane osobowe”, czyli wszelkie informacje, pozwalające na zidentyfikowanie tożsamości osoby fizycznej, w szczególności przez powiązanie z nią numeru identyfikacyjnego lub specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2 ustawy o ochronie danych osobowych).

W praktyce oznacza to, że za dane osobowe zostaną uznane wszystkie informacje, które pozwalają na identyfikację tożsamości bez nadmiernych kosztów, czasu i działań. Jeśli więc dysponujemy numerem telefonu, który po wpisaniu w wyszukiwarkę internetową zostanie powiązany z konkretną osobą (np. przez portal społecznościowy), to będziemy mówić w tym wypadku o danych osobowych. Jeśli jednak poznanie właściciela numeru będzie wymagało ingerencji Policji, która złoży odpowiedni wniosek u operatora komórkowego, to numer nie zostanie uznany za dane osobowe, ponieważ wymaga to nadmiernych działań.

Ważne!

Należy pamiętać, że jako za dane osobowe mogą zostać uznane również adresy poczty elektronicznej – zwłaszcza, kiedy zawierają one w swojej treści imię oraz nazwisko, np:

jan.kowalski@gmail.com

W niektórych wypadkach identyfikacja konkretnej osoby będzie możliwa również przez inne dane w adresie:

jan.k.sekretarz@giodo.gov.pl

Określenie stanowiska, imienia i inicjału nazwiska razem z podaniem konkretnego urzędu w domenie pozwala nam na określenie z dużą pewnością o jaką osobę chodzi, np. przez użycie wyszukiwarki internetowej – taki adres będzie więc uznany za daną osobową.

Jeśli jednak będziemy mieli do czynienia z adresem:

jolcia1988@o2.pl

który nie wskazuje na żadną konkretną osobę, nie zostanie on uznany za daną osobową.

Zbiór danych osobowych

Za zbiór danych osobowych zostanie uznany “każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie” (art. 7 pkt 1 ustawy).

W sklepie internetowym najważniejszym kryteriów wyodrębniania zbiorów danych osobowych będzie cel ich przetwarzania. Z całą pewnością każdy sklep internetowy będzie przetwarzał przynajmniej 1 zbiór danych osobowych – będą to klienci e-sklepu, którzy muszą udostępnić swoje dane osobowe w celu dostarczenia przesyłki.

Inne zbiory danych osobowych, jakie mogą pojawić się w sklepie internetowym, to np.:

  • Odbiorcy newslettera (najczęściej w postaci adresów mailowych)
  • Pracownicy (baza umów cywilnoprawnych)
  • Uczestniczy konkursu
  • Statystyki i marketing

Obowiązki związane z przetwarzaniem danych osobowych

Każda firma, która w ramach swojej działalności przetwarza dane osobowe, a więc również sklep internetowy, ma obowiązek spełnić wymogi Ustawy o ochronie danych osobowych między innymi w zakresie zgłoszenia baz danych do GIODO lub powołania Administratora Bezpieczeństwa Informacji.

Oprócz tego istotne jest również stworzenie i wprowadzenie procedur mających na celu prawidłowe przetwarzanie danych osobowych. Służą do tego dokumenty takie jak Polityka bezpieczeństwa oraz Instrukcja zarządzania systemami informatycznymi, w których administrator danych osobowych (zwany dalej ADO – na to stanowisko może zostać powołany np. właściciel firmy) określa sposób zabezpieczenia danych, cel ich przetwarzania czy listę osób mających dostęp do danych.

ADO może powołać w firmie stanowisko ABIego, czyli Administratora bezpieczeństwa informacji, do którego kompetencji należy sprawdzanie zgodności przetwarzania danych z obowiązującymi przepisami, nadzorowanie i aktualizowanie dokumentacji związanej z ochroną danych oraz zapoznanie osób uprawnionych do przetwarzania dancyh z przepisami.

Oprócz tego ABI powinien prowadzić rejestr zbiorów danych osobowych, co zwalnia z obowiązku dodatkowej rejestracji tych baz w GIODO – w takim wypadku ADO zgłasza do GIODO jedynie fakt powołania ABIego. Powinien zrobić to w ciągu 30 dni od dnia powołania (zgodnie z art. 46b ust. 1 u.o.d.o).

Jeśli ABI nie zostanie powołany, ADO powinien zgłosić do urzędu przetwarzane zbiory baz danych (zgodnie z art. 40 ustawy o ochronie danych osobowych), np. przez wypełnienie wniosku na stronie egiodo.giodo.gov.pl. W takim zgłoszeniu należy uwzględnić:

  • oznaczenie administratora danych – między innymi przez podanie siedziby lub adresu zamieszkania, numeru REGON (jeśli został nadany),
  • cel przetwarzania danych,
  • opis kategorii osób, których dane są przetwarzane,
  • zakres przetwarzania danych osobowych,
  • sposób zbierania i przetwarzania danych,
  • opis środków służących zabezpieczeniu danych,
  • spełnienie wymogów nakładanych przez pozostałe przepisy ustawy,


Przedsiębiorco!
Szukasz pomocy przy danych osobowych?

Prześlij swoje pytanie do doświadczonych ekspertów i otrzymaj bezpłatną wycenę (tylko dla przedsiębiorców).

padlock

Chronimy Twoją prywatność. Twój adres email posłuży tylko do kontaktu w sprawie wyceny.

Submit a Comment

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

POBIERZ DARMOWY PORADNIK!

Dowiedz się jak spełnić swoje obowiązki wobec GIODO

i jak dokonać rejestracji zbiorów danych osobowych!

Kliknij i pobierz poradnik