Każdy przedsiębiorca z pewnością staje przed tym dylematem. Otóż, odpowiedź brzmi przecząco. Zgłoszenie zbioru danych do GIODO nie jest trudne i jest możliwe do wykonania samodzielnie. Oczywiście, jak się Państwo zapewne przekonają, fachowa wiedza jest jednak bardzo przydatna.
1. By zgłosić do GIODO zbiór danych osobowych, należy złożyć wniosek.
Istnieje kilka dróg złożenia takiego wniosku:
1. elektronicznie przy użyciu podpisu elektronicznego
2. elektronicznie bez użycia podpisu elektronicznego + zgłoszenie papierowe (z własnoręcznym podpisem i pieczątką) w tym celu ze strony GIODO należy pobrać formularz elektroniczny i wypełnić wniosek.
3. pocztą – na adres Biura Generalnego Inspektora Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa) w tym celu należy pobrać ze strony GIODO – wzór zgłoszenia danych do rejestracji i przesłać na adres Biura Generalnego Inspektora Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa)
4. osobiście w Biurze Generalnego Inspektora Ochrony Danych Osobowych
Samo zgłoszenie zbioru danych osobowych to jednak nie wszystko.
Ustawa wymaga sporządzenia pisemnej dokumentacji, która będzie określać sposób przetwarzania danych oraz opisywać środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych.
2. Każdy e-sklep musi mieć również opracowaną i wdrożoną:
Politykę bezpieczeństwa danych osobowych, która opisuje zasady przetwarzania danych osobowych (w formie papierowej i elektronicznej) w organizacji. Zgodnie z Rozporządzeniem MSWiA, Polityka powinna zawierać w szczególności (par. 4):
- wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe
- wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych
- opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi
- sposób przepływu danych pomiędzy poszczególnymi systemami
- określenie środków technicznych i organizacyjnych, niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych
Instrukcję Zarządzania Systemem Informatycznym – to dokument bardziej szczegółowym i koncentrującym się na zapewnieniu bezpieczeństwa danych osobowych, przetwarzanych w infrastrukturze informatycznej firmy. Rozporządzenie wymaga, aby znalazły się w niej w szczególności (par. 5):
- procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
- stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
- procedury rozpoczęcia, zawieszenia i zakończenia pracy, przeznaczone dla użytkowników systemu;
- procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzedzi programowych służących do ich przetwarzania;
- sposób, miejsce i okres przechowywania: elektronicznych nośników informacji zawierających dane osobowe, kopii zapasowych;
- sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;
- procedura wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych;
sposób odnotowywania informacji o odbiorcach danych.
Zawartość tych dokumentów opisuje Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. – jest to minimum, które dokumentacja musi zawierać.
Dokumenty te opisują w jaki sposób ADO przetwarza i chroni dane osobowe. Nie trzeba ich jednak dołączać do wniosków rejestracyjnych do GIODO.
Są to dokumenty wewnętrzne, jednak należy je aktualizować w miarę potrzeb.
Podsumowanie
W gestii e-sklepu leży decyzja czy zdecyduje się na wypełnienie powyższych dwóch podstawowych obowiązków samodzielnie, czy skorzysta z usług firmy zewnętrznej.
Podejmując decyzję w tym zakresie warto również pamiętać, że rejestracja zbiorów w GIODO oraz opracowanie dokumentacji nie gwarantuje jeszcze działania zgodnego z ustawą o ochronie danych osobowych. Nie należy zapominać o upoważnieniach do przetwarzania danych, obowiązkach informacyjnych czy zawieraniu umów powierzenia z podmiotami zewnętrznymi.
