Prowadząc serwis internetowy chcąc nie chcąc przetwarzasz dane osobowe użytkowników i stajesz się administratorem danych. Niniejszy artykuł ma na celu zwrócić Twoją uwagę na obowiązki, jakie nakłada na Ciebie ustawa o ochronie danych osobowych. Pamiętaj, że umieszczenie na stronie internetowej regulaminu i polityki prywatności to za mało by ustrzec się przed problemami prawnymi.
Wielu przedsiębiorcom wydaje się, że zgodnie art. 43 pkt 8 ustawy o ochronie danych osobowych ich działalność jest wyłączona z obowiązku rejestracji zbiorów danych osobowych do GIODO albowiem dane osobowe klientów są przetwarzane przez e-sklepy wyłącznie w celu wystawienia faktury czy rachunku.
Nic bardziej mylnego.
Zauważ, że prowadząc serwis internetowy oferujesz różnorodne usługi osobom indywidualnym, takie jak np. pośrednictwo w poszukiwaniu pracy – których realizacja wymaga najczęściej kontrolowanej wymiany danych osobowych typu CV, tj. udostępniania ich tylko osobom upoważnionym. Działania te wiążą się z przetwarzaniem danych osobowych a Ty stajesz się – chcąc nie chcąc – administratorem danych osobowych.
Czy da się uciec przed GIODO?
Zapewne każdy serwis internetowy zadaje sobie to pytanie. Przecież to dodatkowe obowiązki i koszty, a dokumentacja to coś co być musi, a czego nie widać.
Niestety, aby serwis internetowy funkcjonował zgodnie z prawem, każdy jego właściciel, który przetwarza dane osobowe powinien zgłosić zbiory danych do GIODO i przygotować, a następnie wdrożyć niezbędną dokumentację z zakresu danych osobowych.
Jakie obowiązki nakłada na administratora danych serwisu internetowego ustawa o ochronie danych osobowych?
- Prawo wprowadza możliwość powołania funkcji Administratora bezpieczeństwa informacji, który jako specjalista w tej dziedzinie stałby na straży przetwarzania danych w Twojej firmie. Jeśli zdecydujesz się na to rozwiązanie i zgłosisz ABI do rejestru GIODO, zrzucisz z siebie obowiązek zgłaszania zbiorów danych osobowych zwykłych, które przetwarzasz. Rejestr zbiorów będzie prowadził za Ciebie ABI.Niezależnie od powołania funkcji ABI, będziesz musiał zgłaszać do rejestracji GIODO zbiory danych osobowych wrażliwych, jeśli takie przetwarzasz.
- Jeśli jednak zrezygnujesz z tego rozwiązania, pamiętaj by zanim rozpoczniesz faktyczną działalność, zidentyfikować i wyodrębnić poszczególne zbiory danych, a następnie dokonać ich rejestracji w GIODO. Art. 43 ustawy o ochronie danych wskazuje przypadki wyłączeń obowiązku rejestracji zbiorów danych osobowych:
- Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:
- zawierających informacje niejawne;
- które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności;
- przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym;
- przetwarzanych przez Generalnego Inspektora Informacji Finansowej;
- przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym;
- przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej;
- dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego;
- przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się;
- dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta;
- tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego;
- dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności;
- przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;
- powszechnie dostępnych;
- przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego;
- przetwarzanych w zakresie drobnych bieżących spraw życia codziennego;
- przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 przetwarzanie niektórych kategorii danych ust. 1.
- Obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 przetwarzanie niektórych kategorii danych ust. 1, nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji, z zastrzeżeniem art. 46e ponowne zgłoszenia do rejestracji powołania administratora bezpieczeństwa informacji ust.
- zawierających informacje niejawne;
- W odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1 i 3, oraz zbiorów, o których mowa w ust. 1 pkt 1a, przetwarzanych przez Agencję Bezpieczeństwa Wewnętrznego, Agencję Wywiadu, Służbę Kontrwywiadu Wojskowego, Służbę Wywiadu Wojskowego oraz Centralne Biuro Antykorupcyjne, Generalnemu Inspektorowi nie przysługują uprawnienia określone w art. 12 zadania Generalnego Inspektora pkt 2, art. 14 uprawnienia inspektorów pkt 1 i 3-5 oraz art 15-18.Obowiązuje zasada: jeśli zbiór nie mieści się w tym artykule – podlega rejestracji.
- Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:
- Kolejnym obowiązkiem, który musisz wypełnić przed rozpoczęciem faktycznej działalności e-sklepu jest opracowanie i wdrożenie dokumentacji z zakresu ochrony danych osobowych tj.:
Polityki bezpieczeństwa danych osobowych, która opisuje zasady przetwarzania danych osobowych (w formie papierowej i elektronicznej) w Twoim serwisie:
Zgodnie z Rozporządzeniem MSWiA, Polityka powinna zawierać w szczególności (par. 4):
- wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe
- wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych
- opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi
- sposób przepływu danych pomiędzy poszczególnymi systemami
- określenie środków technicznych i organizacyjnych, niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych
Instrukcji Zarządzania Systemem Informatycznym – to dokument bardziej szczegółowy i koncentrujący się na zapewnieniu bezpieczeństwa danych osobowych, przetwarzanych w infrastrukturze informatycznej Twojej firmy. Rozporządzenie wymaga, aby znalazły się w niej w szczególności (par. 5):
- procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
- stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
- procedury rozpoczęcia, zawieszenia i zakończenia pracy, przeznaczone dla użytkowników systemu;
- procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzedzi programowych służących do ich przetwarzania;
- sposób, miejsce i okres przechowywania: elektronicznych nośników informacji zawierających dane osobowe, kopii zapasowych;
- sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego
- procedura wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych;
- sposób odnotowywania informacji o odbiorcach danych.
Zawartość tych dokumentów opisuje Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. – jest to minimum, które dokumentacja musi zawierać.
Dokumenty te wskazują w jaki sposób ADO przetwarza i chroni dane osobowe. Nie trzeba ich jednak dołączać do wniosków rejestracyjnych do GIODO. Są to dokumenty wewnętrzne, jednak musisz pamiętać o ich aktualizacji.
4. Jako właściciel e-serwisu powinieneś zadbać o to by do przetwarzania danych były dopuszczone wyłącznie osoby posiadające upoważnienie do przetwarzania danych. Upoważnienie takie powinno zawierać: imię i nazwisko, datę nadania upoważnienia, datę ustania oraz zakres upoważnienia – nazwę zbioru bądź elementu zbioru danych. Jako ADO powinieneś prowadzić ewidencję takich upoważnień.
5. Kolejnym ważnym obowiązkiem, który spoczywa na Tobie jako ADO jest zawieranie pisemnych umów powierzenia przetwarzania danych osobowych z podmiotami zewnętrznymi, z którymi współpracuje e-serwis np. hosting, księgowość, płatności online itd.
6. Pamiętaj również o odbieraniu zgód na przetwarzanie danych osobowych od klientów – znajdzie to zastosowanie np. w przypadku chęci wysyłki newslettera – zgoda na przesłanie informacji handlowej. Tu obowiązuje jedna prosta zasada – jedna zgoda – jedno oświadczenie – nigdy nie łącz kilku zgód w jednym oświadczeniu.
Podsumowanie
Mam nadzieję, że lektura tego artykułu pomoże Ci uzmysłowić jak wielka odpowiedzialność spoczywa na Tobie jako administratorze danych.
Wszak to w Twoich rękach leży bezpieczeństwo danych użytkowników i nikt inny – tylko Ty poniesiesz ewentualne konsekwencje niedostosowania się do przepisów ustawy o ochronie danych osobowych.