Generalny Inspektor Danych Osobowych, w skrócie GIODO, to stanowisko powołane przede wszystkim w celu kontroli zgodności procedur przetwarzania danych osobowych oraz prowadzenia ewidencji zarejestrowanych zbiorów tego rodzaju danych.
Aby przybliżyć kompetencje tego urzędu oraz obowiązki nakładane przez niego na przedsiębiorców przygotowaliśmy cykl artykułów – rozpoczynamy od podstaw, czyli wyjaśnienia najważniejszych pojęć. Zapraszamy do lektury!
Dane osobowe – definicja i zakres pojęcia
Podstawowym pojęciem, jakie należy wyjaśnić to same “dane osobowe”, czyli wszelkie informacje, pozwalające na zidentyfikowanie tożsamości osoby fizycznej, w szczególności przez powiązanie z nią numeru identyfikacyjnego lub specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2 ustawy o ochronie danych osobowych).
W praktyce oznacza to, że za dane osobowe zostaną uznane wszystkie informacje, które pozwalają na identyfikację tożsamości bez nadmiernych kosztów, czasu i działań. Jeśli więc dysponujemy numerem telefonu, który po wpisaniu w wyszukiwarkę internetową zostanie powiązany z konkretną osobą (np. przez portal społecznościowy), to będziemy mówić w tym wypadku o danych osobowych. Jeśli jednak poznanie właściciela numeru będzie wymagało ingerencji Policji, która złoży odpowiedni wniosek u operatora komórkowego, to numer nie zostanie uznany za dane osobowe, ponieważ wymaga to nadmiernych działań.
Należy pamiętać, że jako za dane osobowe mogą zostać uznane również adresy poczty elektronicznej – zwłaszcza, kiedy zawierają one w swojej treści imię oraz nazwisko, np: jan.kowalski@gmail.com W niektórych wypadkach identyfikacja konkretnej osoby będzie możliwa również przez inne dane w adresie: jan.k.sekretarz@giodo.gov.pl Określenie stanowiska, imienia i inicjału nazwiska razem z podaniem konkretnego urzędu w domenie pozwala nam na określenie z dużą pewnością o jaką osobę chodzi, np. przez użycie wyszukiwarki internetowej – taki adres będzie więc uznany za daną osobową. Jeśli jednak będziemy mieli do czynienia z adresem: jolcia1988@o2.pl który nie wskazuje na żadną konkretną osobę, nie zostanie on uznany za daną osobową.Ważne!
Zbiór danych osobowych
Za zbiór danych osobowych zostanie uznany “każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie” (art. 7 pkt 1 ustawy).
W sklepie internetowym najważniejszym kryteriów wyodrębniania zbiorów danych osobowych będzie cel ich przetwarzania. Z całą pewnością każdy sklep internetowy będzie przetwarzał przynajmniej 1 zbiór danych osobowych – będą to klienci e-sklepu, którzy muszą udostępnić swoje dane osobowe w celu dostarczenia przesyłki.
Inne zbiory danych osobowych, jakie mogą pojawić się w sklepie internetowym, to np.:
- Odbiorcy newslettera (najczęściej w postaci adresów mailowych)
- Pracownicy (baza umów cywilnoprawnych)
- Uczestniczy konkursu
- Statystyki i marketing
Obowiązki związane z przetwarzaniem danych osobowych
Każda firma, która w ramach swojej działalności przetwarza dane osobowe, a więc również sklep internetowy, ma obowiązek spełnić wymogi Ustawy o ochronie danych osobowych między innymi w zakresie zgłoszenia baz danych do GIODO lub powołania Administratora Bezpieczeństwa Informacji.
Oprócz tego istotne jest również stworzenie i wprowadzenie procedur mających na celu prawidłowe przetwarzanie danych osobowych. Służą do tego dokumenty takie jak Polityka bezpieczeństwa oraz Instrukcja zarządzania systemami informatycznymi, w których administrator danych osobowych (zwany dalej ADO – na to stanowisko może zostać powołany np. właściciel firmy) określa sposób zabezpieczenia danych, cel ich przetwarzania czy listę osób mających dostęp do danych.
ADO może powołać w firmie stanowisko ABIego, czyli Administratora bezpieczeństwa informacji, do którego kompetencji należy sprawdzanie zgodności przetwarzania danych z obowiązującymi przepisami, nadzorowanie i aktualizowanie dokumentacji związanej z ochroną danych oraz zapoznanie osób uprawnionych do przetwarzania dancyh z przepisami.
Oprócz tego ABI powinien prowadzić rejestr zbiorów danych osobowych, co zwalnia z obowiązku dodatkowej rejestracji tych baz w GIODO – w takim wypadku ADO zgłasza do GIODO jedynie fakt powołania ABIego. Powinien zrobić to w ciągu 30 dni od dnia powołania (zgodnie z art. 46b ust. 1 u.o.d.o).
Jeśli ABI nie zostanie powołany, ADO powinien zgłosić do urzędu przetwarzane zbiory baz danych (zgodnie z art. 40 ustawy o ochronie danych osobowych), np. przez wypełnienie wniosku na stronie egiodo.giodo.gov.pl. W takim zgłoszeniu należy uwzględnić:
- oznaczenie administratora danych – między innymi przez podanie siedziby lub adresu zamieszkania, numeru REGON (jeśli został nadany),
- cel przetwarzania danych,
- opis kategorii osób, których dane są przetwarzane,
- zakres przetwarzania danych osobowych,
- sposób zbierania i przetwarzania danych,
- opis środków służących zabezpieczeniu danych,
- spełnienie wymogów nakładanych przez pozostałe przepisy ustawy,
