Regulaminy sklepów internetowych
 Obsługa prawna e-commerce

Ile zbiorów danych powinien zgłosić sklep internetowy. Vademecum Odc.4

Zaloguj się

Vademecum ochrony danych osobowych dla sklepów internetowych i serwisów www.

Ile zbiorów danych powinien zgłosić sklep internetowy ?

Odcinek 4.

Marek Wiński, Źródło: Legalnybiznes.pl

 

Przedstawiamy czwarty odcinek naszego cyklu pt. "Vademecum ochrony danych osobowych dla sklepów internetowych i serwisów www. W tym odcinku zajmiemy się bardzo ważnym w praktyce zagadnieniem ile zbiorów danych osobowych powinien zgłosić do GIODO sklep lub serwis internetowy.

 

  1. Ile zbiorów danych osobowych powinien zgłosić mój sklep internetowy ?

Sklep internetowy może gromadzić dane osobowe z różnych źródeł (zamówienia, newsletter, forum internetowe). Gromadzone dane osobowe służą do różnych celów (wykonanie umowy, działania marketingowe, analiza rynku).  Nasuwa się zatem pytanie czy sklep internetowy posiada jeden, czy więcej zbiorów danych osobowych oraz ile zbiorów danych powinien zgłosić do rejestracji w GIODO ?

Zbiorem danych jest „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów (…)” (art. 7 pkt 1 ustawy o ochronie danych osobowych).Według stanowiska GIODO baza danych osobowych, które są przetwarzane w różnych celach (np. realizacja zamówień klientów sklepu internetowego, prowadzenie statystyk, marketing, prowadzenie bazy umów cywilnoprawnych) zawiera faktycznie kilka zbiorów danych prowadzonych w różnych celach. Jedno zgłoszenie do GIODO może natomiast obejmować tylko jeden zbiór danych osobowych (por. art. 41 ustawy o ochronie danych osobowych). Dlatego każdy zbiór powinien zostać zgłoszony na oddzielnym formularzu zgłoszeniowym, w którym zostanie uwzględniony odpowiedni zakres danych osobowych oraz cel, dla jakiego są one przetwarzane (por. http://www.giodo.gov.pl/330/id_art/3489/j/pl).  W ślad za tym tokiem myślenia wyróżnia się kilka typowych zbiorów danych osobowych sklepu internetowego:

1) Konta użytkowników w sklepie internetowym,
2) Zamówienia składane w sklepie internetowym,
3) Marketing produktów i usług,
4) Opinie o produktach,
5) Subskrybenci newslettera,
6) Formularz kontaktowy.
Bez wątpienia zgłoszeniu do rejestru GIODO podlega zbiór danych osobowych przetwarzanych w celach marketingowych (3). Jak wcześniej wspomniano, zbiory danych sklepu internetowego przetwarzane wyłącznie w celu utrzymywania kont użytkowników (1) i realizacji zamówień (2), powinny być zwolnione z rejestracji, jako  zbiory danych osobowych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej.  Dodatkowo można dyskutować, czy zbiory takie jak opinie o produktach (4), subskrybenci newslettera (5) i formularz kontaktowy (6) nie powinny być zwolnione z rejestracji jako dane osobowe przetwarzane w zakresie „drobnych bieżących spraw życia codziennego”.
GIODO jest jednak zdania, iż lista użytkowników newslettera obejmująca ich adresy e-mail podlega zgłoszeniu do rejestru jako odrębny zbiór danych osobowych (www.giodo.gov.pl/330/id_art/3529/j/pl/)
W praktyce większość sklepów internetowych rejestruje tylko jeden zbiór danych osobowych pt. „klienci sklepu” (lub użytkownicy serwisu internetowego” w przypadku serwisów usługowych) (por. rejestr GIODO). Wychodzi się bowiem z założenia, że cel przetwarzania danych jest tylko jeden, tj. sprzedaż produktu/usługi. Sprzedaży podporządkowane są wszystkie dalsze, szczególne cele przetwarzania danych, jak realizacja zamówień, działania marketingowe, zbieranie opinii, windykacja należności i inne.  Dane z każdego z tych źródeł mogą tworzyć oddzielne zbiory fizyczne, ale w sumie stanowią jeden zbiór logiczny pt. „klienci sklepu” lub „użytkownicy serwisu”.
Zwrócić również należy uwagę, że ilość zbiorów danych podlegających rejestracji w GIODO zależy od konkretnych narzędzi informatycznych do zarządzania danymi w sklepie lub serwisie internetowym oraz ich wzajemnych powiązań. Kwestie te powinny być badane indywidualnie dla każdego typu sklepu lub serwisu internetowego. 
W praktyce zaleca się, aby w razie wątpliwości, czy dany zbiór danych podlega rejestracji, czy też nie, złożyć do GIODO stosowny wniosek o rejestrację. Jeżeli zbiór nie podlega ustawowemu obowiązkowi, urząd odmówi rejestracji i przekaże taką informację zainteresowanemu.

 

W kolejnym odcinku.

W kolejnym odcinku cyklu pt. Vademecum ochrony danych osobowych dla sklepu i serwisu internetowego opowiemy o podmiotach i ich obowiązkach w zakresie ochrony danych osobowych. Opowiemy kim są i czym się różnią administrator danych osobowych,  administrator bezpieczeństwa informacji i administrator systemu informatycznego.

 

Przeczytaj odcinek 3 tutaj.

CDN.

 

 

Marek Wiński

Radca Prawny

Hasik, Wiński i Partnerzy sp.p.

 

 

 

2013-10-22

Dodaj nowy komentarz

CAPTCHA
Poniższe zadanie ma na celu stwierdzenie, czy jesteś człowiekiem, a tym samym przeciwdziałanie spamowi.
Graficzne pułapki CAPTCHA
Wprowadź znaki widoczne na obrazku.

Newsletter

Prawo e-commerce
Ochrona danych osobowych
Baza certyfikatów

Baza certyfikatów

Baza certyfikatów

Ochrona konsumentów

Ochrona konsumentów

Ochrona konsumentów

Ochrona konsumentów

Zobacz certyfikat

Ochrona konsumentów