Czy jeśli zbieram dane klientów tylko i wyłącznie w celach realizacji zamówienia, to czy muszę zgłaszać firmę do GIODO?
W konsekwencji nieświadomości prawnej sprzedawców dochodzi do naruszenia danych osobowych klientów sklepów internetowych poprzez zaniechanie obowiązku zgłoszenia zbiorów danych osobowych.
Kiedy sklep będzie zobowiązany dokonać rejestracji zbioru w GIODO?
Prowadząc sklep internetowy sprzedawca gromadzi dane osobowe klientów już w momencie rejestracji klienta bądź składania przez niego zamówienia. Nierzadko przedsiębiorcy prowadzący sprzedaż przez Internet powołują się na art. 43 ust.1 pkt 8 ustawy o ochronie danych osobowych, który stanowi, że ze zwolnienia z rejestracji u GIODO mogą korzystać administratorzy danych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Jest to faktycznie jeden z wyjątków zwalniających z obowiązku rejestracji zbioru w GIODO. Niemniej jednak należy zwrócić uwagę, że w celu wystawienia rachunku lub faktury przedsiębiorca zbiera od klienta dane typu: imię i nazwisko lub nazwa firmy, adres miejsca zamieszkania/siedziby, NIP a także adres e-mail – choćby w celu informowania o statusie wysyłki, numer telefonu, czy wiek.
Nie można więc uznać, że wszelkie dane są uzyskiwane od klienta w celu wystawienia rachunku bądź faktury, zatem zbiory takich danych będą podlegać obligatoryjnemu zgłoszeniu do GIODO. Zgodnie z art. 41 ustawy o ochronie danych osobowych, jedno zgłoszenie zbioru danych powinno obejmować tylko jeden zbiór danych osobowych, dlatego może zajść potrzeba zgłoszenia więcej niż jednego zbioru danych osobowych, albowiem jeden wniosek zgłoszeniowy dotyczy tylko jednej kategorii danych osobowych – jednego celu przetwarzania danych.
Nawet jeśli dane będą faktycznie przetwarzane jedynie w celu realizacji zamówień klientów i będzie to jedyny zbiór danych podlegający rejestracji, ADO na podst. Art. 40 u.o.d.o. winien zgłosić go do GIODO. Administrator danych może rozpocząć ich przetwarzanie w zbiorze danych po zgłoszeniu tego zbioru GIODO.
Co w sytuacji, gdy sklep powołał ABI?
Od dnia 1.01.2015 r. Administrator danych, który powoła Administratora bezpieczeństwa informacji i zgłosi go w rejestrze ABI prowadzonym przez GIODO, nie będzie musiał zgłaszać do rejestracji w GIODO zbiorów przetwarzanych danych osobowych. W sytuacji powołania ABI to ADO prowadzi wewnętrzny rejestr przetwarzanych danych zwykłych.
Zgłoszeniu do GIODO podlegać będą (w sytuacji powołania ABI) jedynie dane osobowe wrażliwe.
Podsumowanie
Sklep internetowy ma dwie możliwości – albo powoła ABI, który będzie odpowiedzialny za prowadzenie wewnętrznego rejestru danych osobowych zwykłych, albo sam musi pamiętać o zgłaszaniu takich danych Generalnemu Inspektorowi Ochrony Danych Osobowych.
Nie warto uciekać od tak prostego procederu, jakim jest rejestracja zbioru danych w GIODO, gdyż każdy szanujący się sklep winien dbać o dane swoich klientów, a dzięki temu również o własną reputację.
