Archiwum kategorii: dane osobowe

Newsletter zgodny z prawem – czyli jaki?

Prawidłowe i zgodne z prawem wysyłanie newslettera wymaga przede wszystkim zapoznania się z przepisami ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną oraz ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne. Zawarte w nich uregulowania nakładają na przedsiębiorców wymóg uzyskania odpowiednich zgód przed rozpoczęciem wysyłania newslettera.

⧠ zgoda na przesyłanie informacji handlowej za pomocą środków komunikacji elektronicznej

Konieczność jej pozyskania wynika z art. 10 ustawy o świadczeniu usług drogą elektroniczną, który zakazuje przesyłania niezamówionej informacji handlowej za pomocą środków komunikacji elektronicznej (np. e-mail, wiadomość SMS). W świetle tego przepisu informację handlową, czyli każdą informację przeznaczoną bezpośrednio lub pośrednio do promowania towarów, usług lub wizerunku przedsiębiorcy, uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na jej otrzymywanie (co może nastąpić zwłaszcza poprzez podanie w tym celu adresu e-mail).

⧠ zgoda na używanie telekomunikacyjnych urządzeń końcowych dla celów marketingu bezpośredniego

Art. 172 ustawy Prawo telekomunikacyjne wprowadza zakaz używania telekomunikacyjnych urządzeń końcowych dla celów marketingu bezpośredniego bez uprzedniej zgody użytkownika końcowego. Kluczowe dla zrozumienia tego przepisu jest wyjaśnienie pojęcia telekomunikacyjnych urządzeń końcowych – zgodnie z definicją ustawową są to urządzenia telekomunikacyjne przeznaczone do podłączenia bezpośrednio lub pośrednio do zakończeń sieci (czyli nic innego jak komputer, telefon czy tablet, na którym użytkownik odczytuje wiadomość zawierającą newsletter). W świetle tego przepisu bez znaczenia jest, na jaki adres wysyłamy newsletter – czy adres pozwalający zidentyfikować konkretną osobę fizyczną (imię.nazwisko@poczta.pl), czy adres firmowy (biuro@poczta.pl) – uprzednia zgoda odbiorcy newslettera w każdym przypadku jest konieczna.

Praktyczne stosowanie powyższych przepisów i ich relacja budzi niekiedy wątpliwości. Problem pojawia się zwłaszcza w sytuacji, gdy użytkownik sklepu lub serwisu internetowego zamawia newsletter wpisując w tym celu swój adres e-mail w odpowiednim polu na stronie internetowej przedsiębiorcy (co jest równoznaczne z wyrażeniem zgody na przesyłanie informacji handlowej w świetle art. 10 ustawy o świadczeniu usług drogą elektroniczną) – czy także w takich przypadkach przedsiębiorca ma obowiązek pozyskania odrębnej zgody na używanie telekomunikacyjnych urządzeń końcowych dla celów marketingu bezpośredniego?

Zgodnie ze stanowiskiem Prezesa Urzędu Komunikacji Elektronicznej z dnia 7 października 2016 r. w takiej sytuacji na przedsiębiorcy nie ciąży obowiązek uzyskania zgody, o której mowa w art. 172 ustawy Prawo telekomunikacyjne. Oznacza to, że użytkownik, który składa indywidualne żądanie otrzymania określonej informacji handlowej (zapisuje się do newslettera), wyraża jednocześnie zgodę na wykorzystanie jego urządzenia końcowego w celach marketingu bezpośredniego.

Zgoda na newsletter – najważniejsze zasady

1. Zgoda uprzednia
Wysyłanie newslettera może być zgodne z prawem tylko i wyłącznie wówczas, gdy nastąpi po uzyskaniu odpowiedniej zgody od odbiorcy. Wszelkie działania marketingowe podjęte przed uzyskaniem zgody są sprzeczne z prawem.

2. Zgoda wyrażona wprost
Zgoda na otrzymywanie newslettera nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. W praktyce oznacza to, że dla takiej zgody musi zostać umieszczony osobny checkbox jasno i wyraźnie określający, na co odbiorca wyraża zgodę.

3. Zgoda może być w każdym czasie wycofana w sposób prosty i wolny od opłat
Przedsiębiorca nie może w żaden sposób utrudniać odbiorcy rezygnacji z dalszego otrzymywania newslettera. Najlepiej sprawdzającą się praktyką w tym względzie jest umieszczenie w stopce e-maila wysyłanego do klienta odpowiedniego linku, którego kliknięcie umożliwi mu szybkie i sprawne wypisanie się z listy subskrybentów.

4. Utrwalenie i potwierdzenie zgody przez użytkownika
Oznacza to, że samo wyrażenie zgody na otrzymywanie newslettera nie jest wystarczające – zgoda ta musi zostać dodatkowo w odpowiedni sposób utrwalona i potwierdzona. W praktyce wygląda to w ten sposób, że po wpisaniu przez klienta w odpowiednim polu swojego adresu e-mail, wysyłana jest na ten adres automatycznie generowana wiadomość zawierająca link aktywacyjny. Aktywowanie tego linku przez odbiorcę powoduje, że adres e-mail zostaje dodany do bazy subskrybentów (metoda double opt-in). Metoda ta umożliwia przedsiębiorcy zachowanie potwierdzenia uzyskanej zgody, co jest szczególnie istotne, jeśli weźmiemy pod uwagę, że w przypadku sporu to na nim ciąży obowiązek udowodnienia, że dopełnił wszelkich formalności przed rozpoczęciem wysyłania newslettera.

A jaka zgoda być nie może?

Wśród niedozwolonych metod pozyskiwania zgody na przesyłanie newslettera (i niestety wciąż często występujących) wymienić można:

1. Wyrażenie zgody na newsletter poprzez akceptację regulaminu
Praktyka ta polega na tym, że zgoda na przesyłanie newslettera jest ukryta w regulaminie korzystania ze sklepu lub serwisu internetowego. Tym samym klient, akceptując regulamin, jednocześnie wyraża zgodę na otrzymywanie newslettera. Brak osobnego checkboxa ze zgodą na newsletter narusza wskazaną powyżej zasadę, że zgoda musi zostać wyrażona wprost.

2. Połączenie zgody na przetwarzanie danych osobowych ze zgodą na otrzymywanie newslettera

Takie działanie zmusza klienta do podjęcia jednej decyzji w odniesieniu do dwóch zupełnie osobnych kwestii – zgody na przetwarzanie danych osobowych i zgody na otrzymywanie newslettera. Jest ono niedozwolone, ponieważ narusza podstawową zasadę odbierania zgód – jedna zgoda może dotyczyć wyłącznie jednego celu, dla którego jest zbierana.

3. Automatycznie zaznaczony checkbox zgody
Wyrażenie zgody na otrzymywanie newslettera przez odbiorcę musi nastąpić poprzez jego aktywne działanie – niedopuszczalna jest zatem sytuacja, w której checkbox ten jest z góry zaznaczony, a klient, nie chcąc otrzymywać informacji handlowych, musi wyrazić swój sprzeciw (tzw. opt-out).

Newsletter a ochrona danych osobowych

Zgodnie z ustawą o ochronie danych osobowych adres e-mail, jeżeli pozwala na zidentyfikowanie konkretnej osoby (np. imię.nazwisko@poczta.pl), zalicza się do danych osobowych. Zatem nie wszystkie adresy e-mail są danymi osobowymi. Jeżeli jednak na liście subskrybentów znajduje się chociaż kilka adresów e-mail składających się z imienia i nazwiska, powoduje to, że mamy do czynienia z danymi osobowymi i musimy przestrzegać przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

⧠ zgoda na przetwarzanie danych osobowych w celach marketingowych

Żeby przetwarzanie danych osobowych było zgodne z prawem, musi się ono odbywać na podstawie jednej z przesłanek dopuszczalności wymienionych w ustawie. Wśród nich jest właśnie zgoda osoby, której dane dotyczą. Odbierając taką zgodę, administrator danych osobowych (czyli przedsiębiorca prowadzący newsletter) jest obowiązany poinformować osobę, od której ją odbiera o:

 adresie swojej siedziby i pełnej nazwie lub o miejscu swojego zamieszkania oraz imieniu i nazwisku (w przypadku, gdy administratorem danych jest osoba fizyczna);
 celu zbierania danych (w naszym przypadku są to cele marketingowe, wysyłka newslettera);
 prawie dostępu do treści swoich danych oraz ich poprawiania;
 dobrowolności podania danych.

Zgoda na przetwarzanie danych osobowych w celach marketingowych nie jest zawsze konieczna. Ustawa o ochronie danych osobowych daje przedsiębiorcy prowadzącemu newsletter możliwość zrezygnowania z niej w sytuacji, gdy przetwarzanie danych osobowych (adresu e-mail) jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Za taki cel ustawa uznaje m.in. marketing bezpośredni własnych produktów lub usług. Zatem, jeżeli newsletter nie dotyczy produktów lub usług „obcych”, uzyskanie zgody nie jest wymagane.

Zgłoszenie newslettera do GIODO – czy jest konieczne?

W myśl ustawy o ochronie danych osobowych baza adresów e-mail stanowi zbiór danych osobowych. A każdy zbiór, poza wyjątkami ściśle wskazanymi w ustawie (do których nie zalicza się newsletter), podlega zgłoszeniu. Zgłoszenie wymaga wypełnienia odpowiedniego wniosku i przesłania go do GIODO. Dokładne informacje na temat zgłoszenia oraz instrukcję, jak je wypełnić znajdą Państwo tutaj.

Polityka bezpieczeństwa informacji

Każdy administrator danych osobowych ma obowiązek opracowania oraz wdrożenia polityki bezpieczeństwa informacji. Dokument zawierający politykę bezpieczeństwa informacji ma na celu określenie sposobu przetwarzania danych osobowych oraz środków ich ochrony.

Poniżej przedstawimy listę zagadnień, które powinny znaleźć się w polityce bezpieczeństwa informacji wraz z omówieniem, dzięki czemu będą mogli Państwo w prosty sposób dostosować je do własnych potrzeb.

Zagadnienia ogólne

⧠ wskazanie podmiotu odpowiedzialnego za opracowanie i wdrożenie polityki bezpieczeństwa – administratora danych osobowych
⧠ wyjaśnienie celu wprowadzenia polityki bezpieczeństwa – zapewnienie zgodności działania administratora danych z przepisami o ochronie danych osobowych
⧠ podstawy prawne
– Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
– Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
– Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji
– Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbioru danych
⧠ zakres przedmiotowy polityki bezpieczeństwa – opisujemy poniżej

Definicje

Zdefiniowanie pojęć kluczowych, które będą powtarzały się w dalszej części dokumentu, pozwoli na utrzymanie spójności i uniknięcie konieczności ich każdorazowego wyjaśniania. Wprowadzając definicje w polityce bezpieczeństwa można (i jest to nawet wskazane) posłużyć się definicjami ustawowymi.

Administrator Bezpieczeństwa Informacji

Jeśli został powołany, dobrym rozwiązaniem jest poświęcenie miejsca w polityce bezpieczeństwa na określenie jego obowiązków i zakresu odpowiedzialności. Zgodnie z przepisami ustawy o ochronie danych osobowych (u.o.d.o.) administrator bezpieczeństwa informacji odpowiedzialny jest w szczególności za zapewnienie przestrzegania przepisów o ochronie danych osobowych i prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

Upoważnienie do przetwarzania danych osobowych

Pracownicy, wykonując swoje obowiązki, przetwarzają dane osobowe. Zgodnie z przepisami u.o.d.o. muszą w tym celu otrzymać stosowne upoważnienie nadane przez administratora danych. Zasady, na jakich będzie się to odbywało, muszą zostać określone w polityce bezpieczeństwa. Wzór dokumentu upoważnienia dołączamy do polityki bezpieczeństwa.

Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe

⧠ adres siedziby administratora danych osobowych
⧠ siedziby wszystkich podmiotów, którym powierzono przetwarzanie danych na podstawie umowy
⧠ adresy miejsc, w których przechowywanie są nośniki informacji zawierające dane osobowe

Z uwagi na szeroką definicję przetwarzania danych w u.o.d.o., do obszaru tego zalicza się nie tylko miejsca, w których wykonywane są operacje na danych osobowych (wprowadzanie, modyfikowanie, kopiowanie danych), ale także miejsca, w których jedynie przechowuje się wszelkie nośniki informacji zawierające dane osobowe (szafy z dokumentacją papierową, szafy zawierające komputerowe nośniki informacji z kopiami zapasowymi danych, stacje komputerowe, serwery i inne urządzenia komputerowe). Z wielu względów praktycznych zbyt dokładne określanie tych pomieszczeń nie jest wskazane, a często nawet możliwe. Dlatego też przyjmuje się, że wystarczające jest określenie powyższych miejsc poprzez wskazanie ich adresu, bez dokładnego określania poszczególnych pomieszczeń.

Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych

⧠ wskazanie nazw zbiorów danych oraz nazw programów używanych do ich przetwarzania

W wykazie powinny znaleźć się informacje o wszystkich programach wykorzystywanych do przetwarzania danych w ramach danego zbioru, bez względu na to czy zarządzanie oraz administracja tymi programami leży w gestii administratora danych, czy podmiotów zewnętrznych. Ponadto trzeba mieć na uwadze, że – w odróżnieniu od rejestru – wykaz zbiorów danych osobowych zawiera wszystkie zbiory danych przetwarzane przez administratora danych, bez żadnych wyjątków (czyli również te zwolnione z obowiązku rejestracji).

Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi

W punkcie tym wskazujemy poszczególne grupy informacji (np. dane adresowe klienta, zamówienia klienta, sprzedawane towary) oraz istniejące między nimi relacje, dzięki czemu możliwa będzie identyfikacja pełnego zakresu danych osobowych, jakie są przetwarzane w określonym zbiorze. Powiązania te można przedstawić zarówno w formie opisu tekstowego, jak i w postaci graficznej.

Sposób przepływu danych pomiędzy poszczególnymi systemami

⧠ wskazanie wszystkich używanych systemów informatycznych
⧠ informacja, z jakimi zbiorami danych poszczególne systemy współpracują
⧠ sposób przepływu informacji pomiędzy zbiorem danych a systemem informatycznym – jednokierunkowy (np. informacje pobierane są tylko do odczytu) lub dwukierunkowy (np. informacje pobierane są do odczytu i zapisu)
⧠ sposób przepływu danych pomiędzy poszczególnymi systemami
– wskazanie zakresu przesyłanych danych
– ogólne informacje na temat sposobu przesyłania danych, które mogą decydować o rodzaju narzędzi niezbędnych do zapewnienia ich bezpieczeństwa podczas teletransmisji
– wskazanie podmiotu lub kategorii podmiotów, do których dane są przekazywane

W informacji o sposobie przepływu danych pomiędzy poszczególnymi systemami musimy uwzględnić również przepływ do podmiotów zewnętrznych zaangażowanych w proces przetwarzania danych osobowych – mogą to być np. systemy podmiotów, którym zostało powierzone przetwarzanie danych osobowych na podstawie art. 31 u.o.d.o. Co ważne, w punkcie tym nie jest wymagane szczegółowe omawianie rozwiązań technologicznych – powyższe informacje powinny zostać przedstawione w sposób ogólny i przejrzysty.

Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych

⧠ środki ochrony fizycznej
⧠ środki sprzętowe, informatyczne i telekomunikacyjne
⧠ środki ochrony w ramach oprogramowania systemu
⧠ środki organizacyjne

Określenie środków technicznych i organizacyjnych powinno być poprzedzone analizą zagrożeń i ryzyka związanych z przetwarzaniem danych osobowych – zastosowane środki muszą być adekwatne do zagrożeń wynikających ze sposobu, jak również kategorii przetwarzanych danych osobowych. Powinny one spełniać wymogi określone w art. 36-39 u.o.d.o. oraz być adekwatne do wymaganych poziomów bezpieczeństwa, o których mowa w § 6 rozporządzenia.

Załączniki

1. Wyznaczenie Administratora Bezpieczeństwa Informacji
2. Upoważnienie do przetwarzania danych osobowych
3. Ewidencja osób uprawnionych do przetwarzania danych osobowych – powinna zawierać następujące informacje:
– imię i nazwisko,
– funkcja,
– zakres upoważnienia,
– numer upoważnienia,
– data przyznania upoważnienia,
– data ustania upoważnienia,
– identyfikator (login)

Instrukcja zarządzania systemem informatycznym

Przetwarzając dane osobowe należy zadbać o ich prawidłową ochronę. Jeżeli dane osobowe przetwarzane są w systemie informatycznym, ich administrator musi przygotować i stosować (wdrożyć) dokument o nazwie „instrukcja zarządzania systemem informatycznym”.

Dokument będzie opisywał sposób przetwarzania danych osobowych w systemie informatycznym oraz środki techniczne i organizacyjne, jakie administrator danych osobowych stosuje w celu ochrony danych osobowych. Obowiązek przygotowania instrukcji zarządzania systemem informatycznym wynika z art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926, ze zm.) oraz § 3 ust. 3 i § 5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku, w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Treść instrukcji zarządzania systemem informatycznym zależy m.in. od rodzaju przetwarzanych danych osobowych i systemu informatycznego, w którym dane osobowe są przetwarzane (jego budowy, struktury, dostępu do systemu, jego ochrony). Nie da się więc przygotować uniwersalnego wzoru instrukcji zarządzania systemem informatycznym. Żeby ułatwić Państwu przygotowanie takiego dokumentu, stworzyliśmy listę punktów, która musi zostać omówiona w instrukcji zarządzania systemem informatycznym.


Zagadnienia ogólne

⧠ systemy informatyczne, których dotyczy instrukcja
⧠ lokalizacja systemów
⧠ stosowane metody dostępu (bezpośrednio z komputera, na którym system jest zainstalowany, w lokalnej sieci komputerowej, poprzez sieć telekomunikacyjną)

Procedury nadawania uprawnień do przetwarzania danych osobowych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności

⧠ zasady przyznawania użytkownikowi identyfikatora
⧠ zasady nadawania uprawnień użytkownika do zasobów systemu
⧠ zasady modyfikacji uprawnień użytkownika do zasobów systemu:
– operacje związane z nadawaniem użytkownikowi uprawnień do pracy w systemie, począwszy od utworzenia użytkownikowi konta, poprzez przydzielenie i modyfikację jego uprawnień, aż do momentu usunięcia konta z systemu
⧠ procedura określająca zasady rejestracji użytkowników:
– zasady postępowania z hasłami użytkowników uprzywilejowanych (tzn. użytkowników posiadających uprawnienia na poziomie administratorów systemów informatycznych)
– zasady administrowania systemem w przypadkach awaryjnych (np. nieobecności administratora)
⧠ osoby odpowiedzialne za realizację procedur oraz rejestrowanie i wyrejestrowywanie użytkowników w systemie

Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem

⧠ tryb przydzielania haseł (zaleca się, aby unikać przekazywania haseł przez osoby trzecie lub za pośrednictwem niechronionych wiadomości poczty elektronicznej)
­ – wskazanie czy hasła użytkowników przekazywane mają być w formie ustnej czy pisemnej
­ – wskazanie zaleceń dotyczących stopnia ich złożoności – 6 lub 8 znaków (pkt IV ppkt 2 oraz pkt VIII załącznika do rozporządzenia z dnia 29 kwietnia 2004 r.)
⧠ wskazanie osób odpowiedzialnych za przydział haseł (funkcjonalnie lub personalnie)
⧠ zobowiązanie użytkownika do niezwłocznej zmiany hasła po jego otrzymaniu – chyba że system nie umożliwia wykonania takiej operacji
⧠ dodatkowe informacje dotyczące haseł (w zależności od stosowanych rozwiązań):
­ – wymogi dotyczące ich powtarzalności
­ – wymogi dotyczące zestawu tworzących je znaków
⧠ informacja o wymaganej częstotliwości i metodzie zmiany hasła
­ – częstotliwość – nie rzadziej niż co 30 dni (pkt IV ppkt 2 załącznika do rozporządzenia z dnia 29 kwietnia 2004 r.)
­ – informacja czy zmiana hasła wymuszana jest po określonym czasie przez system, czy użytkownik sam musi o tym pamiętać
⧠ wymóg przechowywania haseł w postaci zaszyfrowanej
⧠ sposób przechowywania haseł użytkowników posiadających uprawnienia administratorów systemów oraz sposób odnotowywania ich awaryjnego użycia
⧠ dodatkowo w przypadku zastosowania innych niż identyfikator i hasło metod weryfikacji tożsamości użytkownika, np. kart mikroprocesorowych lub metod biometrycznych
­ – sposób personalizacji kart
­ – sposób pobierania danych biometrycznych w procesie rejestrowania użytkownika w systemie
­ – sposób przechowywania danych biometrycznych

Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu

⧠ kolejne czynności, jakie należy wykonać w celu uruchomienia systemu, w szczególności zasady postępowania użytkowników podczas przeprowadzania procesu uwierzytelniania się (logowania się do systemu)
⧠ metody postępowania w sytuacji tymczasowego zaprzestania pracy na skutek opuszczenia stanowiska pracy
⧠ metody postępowania, kiedy wgląd w wyświetlane na monitorze dane może mieć nieuprawniona osoba
⧠ informacja o konieczności wykonania operacji wyrejestrowania się z systemu przed wyłączeniem stacji komputerowej oraz o czynnościach, jakie w tym celu należy wykonać
⧠ sposób postępowania w sytuacji podejrzenia naruszenia bezpieczeństwa systemu, np. w przypadku braku możliwości zalogowania się użytkownika na jego konto, czy też w przypadku stwierdzenia fizycznej ingerencji w przetwarzane dane albo użytkowane narzędzia programowe lub sprzętowe

Procedury tworzenia kopii zapasowych zbiorów danych osobowych oraz programów i narzędzi programowych służących do ich przetwarzania

⧠ metody i częstotliwość tworzenia kopii zapasowych danych oraz kopii zapasowych systemu używanego do ich przetwarzania:
­ – informacja, dla jakich danych wykonywane będą kopie zapasowe
­ – typ nośników, na których kopie będą wykonywane
­ – narzędzia programowe i urządzenia, które mają być do tego celu wykorzystywane
­ – harmonogram wykonywania kopii zapasowych dla poszczególnych zbiorów danych wraz ze wskazaniem odpowiedniej metody sporządzania kopii (kopia przyrostowa, kopia całościowa)
⧠ okresy rotacji oraz całkowity czas użytkowania poszczególnych nośników danych
⧠ procedury likwidacji nośników zawierających kopie zapasowe danych po ich wycofaniu na skutek utraty przydatności lub uszkodzenia
­ – wymóg wcześniejszego pozbawienia przeznaczonych do likwidacji urządzeń, dysków lub innych nośników zawierających dane osobowe zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkodzenia w sposób uniemożliwiający ich odczytanie (pkt VI załącznika do rozporządzenia z dnia 29 kwietnia 2004 r.)

Sposób, miejsce i okres przechowywania:

a) elektronicznych nośników informacji zawierających dane osobowe (dyskietki, płyty CD, taśmy magnetyczne itp.)
b) kopii zapasowych

⧠ wskazanie pomieszczeń przeznaczonych do przechowywania nośników informacji
⧠ sposób zabezpieczenia nośników przed nieuprawnionym przejęciem, odczytem, skopiowaniem lub zniszczeniem
– ­wymóg przechowywania kopii zapasowych w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem (pkt IV ppkt 4a załącznika do rozporządzenia z dnia 29 kwietnia 2004 r.)
⧠ wymóg usuwania kopii zapasowych niezwłocznie po ustaniu ich użyteczności (pkt IV ppkt 4b załącznika do rozporządzenia z dnia 29 kwietnia 2004 r.)
⧠ w przypadku przekazywania nośników informacji podmiotom zewnętrznym w celu bezpiecznego ich przechowywania (np. deponowanie kopii zapasowych w skarbcach bankowych)
­ – procedury przekazywania nośników tym podmiotom
­ – metody zabezpieczania przekazywanych nośników przed dostępem osób nieuprawnionych podczas ich transportu/przekazywania

Sposób zabezpieczania systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu

⧠ określenie obszarów systemu narażonych na ingerencję wirusów komputerowych oraz wszelkiego innego szkodliwego oprogramowania
⧠ wskazanie możliwych źródeł przedostania się szkodliwego oprogramowania do systemu
⧠ wskazanie działań, jakie należy podejmować, aby minimalizować możliwość zainstalowania się szkodliwego oprogramowania
⧠ wskazanie zastosowanych narzędzi programowych, których zadaniem jest przeciwdziałanie skutkom szkodliwego działania oprogramowania
­ – wskazanie oprogramowania antywirusowego, które zostało zainstalowane
­ – określenie metody i częstotliwości aktualizacji definicji wirusów
­ – wskazanie osób odpowiedzialnych za zarządzane oprogramowaniem
⧠ procedury postępowania użytkowników na okoliczność zidentyfikowania określonego typu zagrożeń – informacja o czynnościach, które użytkownik powinien wykonać
⧠ w przypadku, gdy stosowane są inne niż oprogramowanie antywirusowe metody ochrony – wskazanie tych metod i procedur związanych z ich stosowaniem

Sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 rozporządzenia z dnia 29 kwietnia 2004 r.

⧠ opis sposobu oraz formy odnotowania informacji o odbiorcach (art. 7 pkt 6 ustawy o ochronie danych osobowych), którym dane osobowe zostały udostępnione oraz dacie i zakresie tego udostępnienia (nie jest wystarczające odnotowanie w formie papierowej) – nie dotyczy sytuacji, kiedy system informatyczny jest używany do przetwarzania danych zawartych w zbiorach jawnych

Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych osobowych

⧠ cel procedur
⧠ zakres procedur
⧠ częstotliwość procedur
⧠ opis procedur
­ – podmioty i osoby uprawnione do dokonywania przeglądów i konserwacji
­ – określenie sposobu, w jaki administrator danych nadzoruje czynności konserwacyjne systemu wykonywane przez osoby nieposiadające upoważnień do przetwarzania danych (np. specjalistów z firm zewnętrznych)
­ – określenie sposobu usuwania danych osobowych z nośników informatycznych w przypadku przekazywania ich do naprawy – wymóg, aby urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, pozbawić przed oddaniem do naprawy zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawiać je pod nadzorem osoby upoważnionej przez administratora danych (pkt VI ppkt 3 załącznika do rozporządzenia z dnia 29 kwietnia 2004 r.)

Ochrona danych osobowych – czy każdy zbiór danych trzeba zgłosić do GIODO?

Nie, nie zawsze trzeba zgłaszać zbiór danych do rejestracji GIODO (dla niecierpliwych – o tym piszemy w punkcie 5).

Ale po kolei. Najpierw wyjaśnijmy, co to są dane osobowe (1), potem czym jest zbiór danych osobowych (2), kto powinien zgłosić zbiór danych osobowych do rejestracji GIODO (3), kiedy zbiór danych osobowych należy zgłosić do rejestracji GIODO (4), a kiedy ustawa przewiduje zwolnienia z obowiązku rejestracji zbioru danych osobowych GIODO (5).

1. CO TO SĄ DANE OSOBOWE?

Dane osobowe to informacje dotyczące konkretnej osoby fizycznej. Zatem, jeżeli jakieś informacje pozwalają stwierdzić, że kryje się za nimi konkretna osoba fizyczna, to takie informacje będą danymi osobowymi.
Taka informacja może być wyrażona w dowolny sposób, np. słowem, zapisem elektronicznym, zapisem dźwiękowym (dlatego podczas rozmów z call center jesteśmy informowani o tym, że są one rejestrowane – jest to nasza zgoda na zapisywanie danych osobowych nas dotyczących, czyli naszego głosu), fotograficznym (zdjęcia przedstawiające osoby).

Przykłady danych osobowych:

a) numery identyfikacyjne, np.:

  • PESEL
  • NIP

b) dane o osobie:

  • imię
  • nazwisko
  • adres
  • głos (informujemy, że rozmowy są nagrywane)
  • numer telefonu
  • e-mail
  • IP komputera, numer rejestracyjny samochodu

c) czynniki określające cechy, np.:

  • wygląd zewnętrzny
  • grupa krwi
  • status majątkowy
  • pochodzenie
  • poglądy polityczne, przynależność religijna
  • stan zdrowia, nałogi, seksualność
  • orzeczenia dotyczące karania
  • kod genetyczny

Niemal każda informacja z udziałem człowieka może zostać uznana za informację zindywidualizowaną, gdyż zawsze istnieje możliwość określenia tożsamości człowieka. Dlatego informacji nie uznaje się za dane osobowe, gdy możliwość określenia tożsamości osoby byłaby nadmiernie kosztowna lub czasochłonna.

Jak wynika z powyższego, niemal w każdym biznesie korzysta się z danych osobowych. Sklep internetowy, produkt w modelu SaaS – korzystają z danych osobowych klientów. Wysyłając newsletter – korzystamy z danych osobowych w postaci adresów e-mail (a czasem imienia i nazwiska adresata).

2. CZYM JEST ZBIÓR DANYCH OSOBOWYCH?

Zbiór danych osobowych występuje wówczas, gdy zebrane dane osobowe są uporządkowane i dostępne według określonych kryteriów.
Zatem, żeby jakikolwiek zestaw danych mógł zostać zakwalifikowany jako zbiór podlegający rejestracji, musi on wykazywać się uporządkowaną strukturą, w której możliwe jest odnalezienie informacji bez potrzeby przeglądania całego zestawu. Możliwość posłużenia się jakimkolwiek kryterium osobowym (np. imię, nazwisko, data urodzenia, PESEL) bądź nieosobowym (np. data zamieszczenia danych w zbiorze, numer referencyjny) w celu wyszukania informacji o danych osobowych jest decydująca dla uznania zebranych danych za zbiór danych osobowych.

Zbiorem danych osobowych będzie więc np. baza klientów sklepu bądź serwisu internetowego, baza adresatów newslettera, rejestr danych przetwarzanych w związku z prowadzeniem spraw księgowych czy rejestr darczyńców bądź osób, którym została udzielona pomoc w przypadku fundacji i stowarzyszeń.
Jeżeli zbieramy dane, ale nie tworzą one zbioru danych w rozumieniu tej definicji (nie są w żaden sposób uporządkowane), to nie musimy ich zgłaszać i rejestrować w GIODO.

3. KOGO DOTYCZY OBOWIĄZEK REJESTRACJI ZBIORU DANYCH OSOBOWYCH?

Co do zasady zbiór danych osobowych należy zarejestrować w GIODO.
Obowiązek ten dotyczy KAŻDEGO administratora danych osobowych. Administratora danych osobowych czyli podmiotu, który decyduje o zebranych danych osobowych (posiłkując się ustawą – administratorem danych osobowych jest podmiot decydujący o celach i środkach przetwarzania danych osobowych). Nie ma przy tym znaczenia to, czy przedsiębiorca, który korzysta z newslettera, wykonuje wszystkie związane z nim czynności sam, czy zlecił zebranie bazy mailingowej i przesyłanie newslettera podmiotowi zewnętrznemu (czyli tym samym zlecił przetwarzanie danych) – przedsiębiorca ten jest wciąż administratorem danych osobowych i to na nim ciąży obowiązek zgłoszenia zbioru danych osobowych do rejestracji GIODO.

4. ZGŁOSZENIE ZBIORU

Zgłoszenia zbioru danych osobowych do rejestracji GIODO należy dokonać przed rozpoczęciem przetwarzania danych osobowe w zbiorze, czyli jeszcze przed pozyskaniem pierwszych danych do zbioru. Jeżeli zbiór obejmuje wyłącznie tzw. dane zwykłe, możemy rozpocząć ich przetwarzanie już od momentu zgłoszenia (w przypadku zbioru danych zawierającego dane wrażliwe, z rozpoczęciem przetwarzania należy zaczekać do momentu rejestracji zbioru przez GIODO i otrzymania odpowiedniego zaświadczenia).

Zbiór danych zgłaszamy do GIODO na odpowiednim formularzu w formie papierowej lub za pośrednictwem elektronicznej platformy e-GIODO.
Tutaj opublikowaliśmy artykuł z instrukcją, jak wypełnić wniosek.

5. ZWOLNIENIA Z OBOWIĄZKU REJESTRACJI

Przed przystąpieniem do wypełniania odpowiedniego zgłoszenia warto zapoznać się z przewidzianym w art. 43 u.o.d.o. zamkniętym katalogiem wyjątków od obowiązku rejestracji.

Zgłoszeń zbioru danych do rejestracji GIODO nie muszą dokonywać m.in. administratorzy danych:

1) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się (wyjątek ten dotyczy w szczególności aktualnych i byłych pracowników administratora danych osobowych, kandydatów do pracy, osób pracujących na podstawie umowy zlecenia lub umowy o dzieło);

2) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta;

3) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;

4) powszechnie dostępnych (np. dane dostępne w książce telefonicznej, Internecie czy prasie);

5) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego (np. zbiory będące rejestrami przepustek jednorazowych, kontakty w telefonie służbowym);

6) przetwarzanych w zbiorach papierowych (jednakże wyjątek ten nie dotyczy danych wrażliwych, tj. ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym);

7) którzy powołali i zgłosili do GIODO administratora bezpieczeństwa informacji.

Powyższe zwolnienia dotyczą jedynie obowiązku zgłoszenia zbioru danych do rejestracji GIODO. Administrator danych obowiązany jest stosować się do wszelkich pozostałych zasad przetwarzania danych osobowych przewidzianych przez u.o.d.o. i przepisy wykonawcze.

Ochrona danych osobowych – jak zgłosić zbiór danych do rejestracji GIODO?

ZGŁOSZENIE – INFORMACJE PRAKTYCZNE

Zgłoszenie zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych powinno zostać dokonane przed rozpoczęciem przetwarzania danych, czyli z reguły przed rozpoczęciem zbierania danych osobowych. Ponadto zgłoszenie nie obejmuje poszczególnych danych przetwarzanych w zbiorze, ani dokumentów potwierdzających zawarte w nim oświadczenia (np. polityki bezpieczeństwa). Zgłoszeniu podlega wyłącznie zbiór danych osobowych.

Zgłaszając zbiór danych osobowych do rejestracji GIODO, administratorzy danych powinni pamiętać o zasadzie, że jedno zgłoszenie obejmuje tylko jeden zbiór danych osobowych. Zgłoszeniu zbioru danych osobowych do rejestracji GIODO podlegają zbiory prowadzone z użyciem systemu informatycznego. Administrator danych ma obowiązek zgłoszenia zbioru prowadzonego w formie papierowej tylko wówczas, gdy przetwarzane są w nim dane wrażliwe.

Zgłoszenia zbioru danych osobowych należy dokonać na formularzu stanowiącym załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, który jest dostępny również w formie elektronicznej za pośrednictwem „Elektronicznej platformy komunikacji z Generalnym Inspektorem Ochrony Danych Osobowych” (e-GIODO).

Papierową wersję zgłoszenia (wymaganą także w przypadku przesłania wniosku za pośrednictwem platformy bez podpisu elektronicznego) można przesłać pocztą bądź złożyć osobiście w Biurze GIODO (ul. Stawki 2, 00-193 Warszawa). Administratorzy danych osobowych, którzy posiadają kwalifikowany podpis elektroniczny bądź elektroniczny podpis potwierdzony profilem zaufanym e-PUAP, mogą dokonać zgłoszenia w formie elektronicznej bez konieczności dostarczenia wersji papierowej do GIODO.

Na administratorze danych, który dokonał zgłoszenia zbioru, ciąży ponadto obowiązek poinformowania GIODO o każdej zmianie informacji w stosunku do tej podanej w zgłoszeniu, w terminie 30 dni od dnia dokonania zmiany (w przypadku, gdy zmiana dotyczy rozszerzenia zakresu przetwarzanych danych o dane wrażliwe, zmianę tę należy zgłosić przed jej dokonaniem).

Zgłoszenie zbioru danych osobowych do rejestracji GIODO oraz zgłoszenie zmian informacji zawartych w zgłoszeniu jest wolne od opłat.
Gdy zbiór obejmuje wyłącznie tzw. dane zwykłe, można rozpocząć ich przetwarzanie już od momentu zgłoszenia. Natomiast, jeżeli zgłoszony zostaje zbiór danych zawierający dane wrażliwe, wówczas z rozpoczęciem przetwarzania należy zaczekać do momentu rejestracji zbioru danych osobowych przez GIODO i otrzymania odpowiedniego zaświadczenia.


FORMULARZ KROK PO KROKU

W kolejnej części artykułu przeanalizujemy krok po kroku formularz zgłoszenia na przykładzie zbioru danych osobowych o nazwie Klienci sklepu XYZ.

Wypełnienie formularza rozpoczynamy od określenia przedmiotu naszego zgłoszenia. Do wyboru mamy trzy możliwości:
(i) zgłoszenie zbioru na podstawie art. 40 ustawy o ochronie danych osobowych (u.o.d.o.) (tzw. zbioru zwykłego),
(ii) zgłoszenie zmian na podstawie art. 41 ust. 2 u.o.d.o. oraz
(iii) zgłoszenie zbioru, w którym będą przetwarzane dane określone w art. 27 ust. 1 u.o.d.o. (tzw. dane wrażliwe).

W naszym wniosku zaznaczamy pierwszy kwadracik, ponieważ chcemy zgłosić nowy zbiór niezawierający danych wrażliwych (tak zresztą będzie w zdecydowanej większości zgłaszanych zbiorów). Co ważne, w tej części wniosku należy zaznaczyć tylko jedno pole, w przeciwnym razie wniosek nie zostanie rozpatrzony.

Część A. Nazwa zbioru danych

Pierwsza część wniosku dotyczy nazwy zgłaszanego zbioru danych osobowych – w naszym przypadku brzmi ona Klienci sklepu XYZ. W tym zakresie nie obowiązują żadne szczegółowe wytyczne, każdy administrator danych może w zasadzie dowolnie określić nazwę zbioru. Ważne jest tylko, aby pamiętać o dwóch zasadach – określenia nazwy w sposób jak najbardziej zwięzły i adekwatny do rodzaju danych przetwarzanych w zbiorze.

Część B. Charakterystyka administratora danych

1. Wnioskodawca (administrator danych)
W tym polu wskazujemy:
 nazwę administratora danych (UWAGA: w przypadku spółek prawa handlowego administratorem spółki nie jest jej prezes, a sama spółka – zatem w tym miejscu wpisujemy pełną nazwę spółki);
 adres siedziby administratora;
 numer REGON.
W przypadku, gdy zgłaszającym jest osoba fizyczna, wpisujemy jej imię i nazwisko oraz adres zamieszkania.

2. Przedstawiciel wnioskodawcy, o którym mowa w art. 31a u.o.d.o.
Administrator danych osobowych, który ma siedzibę albo miejsce zamieszkania w państwie trzecim i jednocześnie przetwarza dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium naszego kraju, jest obowiązany wyznaczyć swojego przedstawiciela w Polsce. Pojęcie państwa trzeciego oznacza państwo nienależące do Europejskiego Obszaru Gospodarczego (EOG tworzą państwa członkowskie Unii Europejskiej oraz Islandia, Lichtenstein i Norwegia).

Jeżeli komentowany przepis ma zastosowanie i administrator danych wyznaczył swojego przedstawiciela w Polsce, w tym punkcie należy podać jego nazwę i adres siedziby lub imię i nazwisko oraz adres zamieszkania. W naszym przypadku to pole pozostawiamy puste.

3. Powierzenie przetwarzania danych osobowych
Zgodnie z art. 31 u.o.d.o. administrator danych może powierzyć innemu podmiotowi przetwarzanie danych w drodze umowy zawartej na piśmie. Jak wyjaśnia sam GIODIO: Instytucja powierzenia przetwarzania danych, o której mowa w art. 31 ustawy, ma bardzo istotne znaczenie praktyczne. Zezwala ona administratorowi danych na skorzystanie z usług wyspecjalizowanych podmiotów zewnętrznych. Oznacza to, że administrator danych osobowych nie musi osobiście wykonywać wszystkich czynności związanych z procesem przetwarzania danych osobowych. Może powierzyć ich przetwarzanie – w całości lub w części (źródło).

Wskazany przepis ma na celu zapobieżenie sytuacji, w której powierzenie przez administratora innemu podmiotowi przetwarzania danych prowadziłoby do osłabienia ich ochrony. W praktyce ma on zastosowanie m.in. w przypadkach, takich jak zlecanie obsługi księgowej zewnętrznym podmiotom czy korzystanie z usług firmy informatycznej. W takich sytuacjach podmioty zewnętrzne mogą uzyskać dostęp do chronionych danych osobowych (co jest niezbędne do wykonania usługi) jedynie na podstawie odpowiedniej umowy.

Jeżeli administrator powierzył przetwarzanie danych innemu podmiotowi, w punkcie tym należy podać nazwę i siedzibę tego podmiotu. Natomiast w przypadku, gdy administrator jeszcze nie powierzył żadnemu podmiotowi przetwarzania danych, ale przewiduje dokonanie tej czynności – należy zaznaczyć drugi kwadracik i – po podpisaniu umowy powierzenia przetwarzania danych osobowych – zgłosić do GIODO zmianę tej informacji. W naszym formularzu niniejsze pole pozostawimy puste.

4. Podstawa prawna upoważniająca do prowadzenia zbioru danych

Dla naszego zbioru danych – bazy klientów sklepu internetowego – jako podstawy prawne upoważniające do prowadzenia zbioru posłużą nam dwie przesłanki.

a) Zgoda osoby, której dane dotyczą, na przetwarzanie danych jej dotyczących

Przesłanka ta nie jest tak oczywista, jak mogłoby się wydawać i wymaga szerszego omówienia. Po pierwsze, zgoda musi być wyraźna, nie może być dorozumiana albo domniemana z innego oświadczenia woli. W tym świetle za niedopuszczalne należy uznać takie praktyki, jak automatyczne zaznaczenie opcji „tak” obok klauzuli zgody (tzw. opcja domyślna), czy umieszczanie zgody w dokumentach pośrednich obowiązujących klienta (np. w regulaminie). Oznacza to, że do wyrażenia zgody na przetwarzanie danych osobowych niezbędne jest aktywne działanie klienta. Natomiast forma wyrażenia zgody może być dowolna, np. mailowa, telefoniczna czy poprzez zaznaczenie odpowiedniego checkboxa.

Po drugie, zgoda musi być dobrowolna. Klient musi mieć możliwość swobodnego, nieskrępowanego podjęcia decyzji w sprawie wyrażenia zgody.
Po trzecie, administrator danych, przed pozyskaniem zgody na przetwarzanie danych osobowych, musi wypełnić ciążący na nim obowiązek informacyjny. Administrator danych jest obowiązany poinformować osobę, od której zbiera dane o: (i) celu i zakresie, w jakim dane mają być przetwarzane, (ii) swoich danych (pełnej nazwie i adresie siedziby bądź w przypadku osób fizycznych – o imieniu i nazwisku oraz miejscu zamieszkania), (iii) prawie dostępu do treści swoich danych oraz ich poprawiania, (iv) dobrowolności albo obowiązku podania danych.
Każdy właściciel sklepu internetowego (administrator danych) powinien przygotować odpowiednią klauzulę zgody adekwatną do powyższych wytycznych, aby nie narazić się na zarzut nielegalnego pozyskania i przetwarzania danych osobowych.

b) Przetwarzanie jest konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą

W przypadku zbioru danych będącego bazą klientów, przesłanka ta ma podstawowe znaczenie. Zezwala ona na przetwarzanie danych osobowych klienta przez właściciela sklepu internetowego w taki sposób i w takim zakresie, w jakim jest to niezbędne do wywiązania się z umowy sprzedaży, która została zawarta z klientem. Ponadto swoim zakresem obejmuje także przetwarzanie danych osobowych w trakcie różnorakich procedur prowadzących do zawarcia umowy, jak np. procedury przetargowej czy konkursowej. Opierając swoją legitymację do przetwarzania danych osobowych klienta na tej przesłance trzeba jednak pamiętać, że umożliwia ona przetwarzanie danych tylko przez okres konieczny do wykonania bądź zawarcia umowy.
Tak więc, zaznaczamy pierwsze oraz trzecie pole wyboru w naszym formularzu i przechodzimy do części C.

Część C. Cel przetwarzania danych, opis kategorii osób, których dane dotyczą oraz zakres przetwarzanych danych

5. Cel przetwarzania danych w zbiorze
Określenie celu przetwarzania danych w zbiorze jest bardzo ważną częścią niniejszego zgłoszenia, gdyż to właśnie na tej podstawie w trakcie jego weryfikacji będzie badana przesłanka adekwatności. Oznacza ona, że administrator danych może zbierać tylko tyle danych osobowych, ile jest konieczne dla osiągnięcia celu, w jakim dane będą przetwarzane. Dlatego też warto określić ten cel dokładnie, tak aby nie powstały żadne wątpliwości, czy jest on proporcjonalny do zakresu zbieranych danych.
W naszym formularzu pole to wypełnimy w następujący sposób: Zarządzanie relacjami z klientami i potencjalnymi klientami oraz wykonywanie umów.

6. Opis kategorii osób, których dane dotyczą
W polu tym należy wpisać krótkie, zbiorcze określenie osób, których dane osobowe mają być przetwarzane, np. klienci, adresaci newslettera, subskrybenci. W żadnym wypadku nie chodzi o wskazanie konkretnych danych, np. imion i nazwisk poszczególnych osób.
W naszym formularzu pole to wypełnimy w następujący sposób: Klienci sklepu internetowego XYZ.

7. Zakres przetwarzania w zbiorze danych o osobach
Punkty 7 i 8 dotyczą zakresu przetwarzanych danych osobowych zwykłych. Natomiast w punktach 9 i 10 można wskazać zakres oraz podstawy prawne przetwarzania danych osobowych wrażliwych – w naszym omówieniu zgłoszenia pominiemy te dwa punkty, gdyż nie mają one zastosowania do zgłaszanego przez nas zbioru danych.

Punkt numer 7 wymienia wszystkie najczęściej występujące dane osobowe, spośród których należy wybrać i zaznaczyć krzyżykiem te, które będą przetwarzane. W naszym przypadku – zbioru zawierającego dane klientów sklepu internetowego – w zupełności wystarczy, jeśli zaznaczymy następujące pola: nazwiska i imiona, adres zamieszkania lub pobytu, Numer Identyfikacji Podatkowej, numer telefonu.
Wypełniając tę część formularza należy przez cały czas mieć na uwadze, aby zakreślone dane były adekwatne do celu ich przetwarzania, wskazanego w punkcie 5.

8. Inne dane osobowe, oprócz wymienionych w pkt 7, przetwarzane w zbiorze
W polu tym należy wymienić zakres danych, które będą przetwarzane i które nie zostały zawarte we wcześniejszym wyliczeniu. W naszym formularzu wpisujemy: adres e-mail.

9. Dane przetwarzane w zbiorze
Tę część zostawiamy pustą.

10. Podstawa prawna przetwarzania danych wskazanych w pkt 9

Tę część zostawiamy pustą.

Część D. Sposób zbierania oraz udostępniania danych

11. Sposób zbierania danych do zbioru
W punkcie tym przekazujemy GIODO informację o źródle pozyskiwania danych osobowych do zbioru. Mamy do wyboru dwie możliwości, spośród których trzeba zaznaczyć przynajmniej jedną (w przypadku, jeżeli dane będą pozyskiwane zarówno od osób, których dotyczą, jak i z innych źródeł, wówczas należy zaznaczyć obydwa wymienione w tym punkcie pola wyboru).

Pojęcie „innych źródeł” co do zasady związane jest z odpłatnym pozyskiwaniem baz danych osobowych od innych przedsiębiorców. W naszym przypadku zakładamy, że będziemy zbierać dane bezpośrednio od osób, których one dotyczą (na podstawie wyrażonej zgody i w związku z wykonywaniem umowy) i zaznaczamy pierwszy kwadracik.

12. Sposób udostępniania danych ze zbioru

Udostępnienie danych to realizowana przez administratora danych operacja przetwarzania danych osobowych, w wyniku której dane zostają przekazane innemu podmiotowi. Podmiot ten staje się ich administratorem i, co za tym idzie, uzyskuje możliwość decydowania o celach i środkach ich przetwarzania. Oznacza to, że – w przeciwieństwie do powierzenia przetwarzania danych – wskutek udostępnienia administrator danych traci kontrolę nad tym, co będzie się z nimi działo. W praktyce w obrocie gospodarczym udostępnienie danych występuje najczęściej w przypadku handlu bazami danych.

Zgodnie z u.o.d.o. odbiorcą danych jest każdy, komu udostępnia się dane osobowe, z wyłączeniem: (i) osoby, której dane dotyczą, (ii) osoby upoważnionej do przetwarzania danych, (iii) przedstawiciela, o którym była mowa w punkcie 2 zgłoszenia, (iv) podmiotu, o którym była mowa w punkcie 3 zgłoszenia, (v) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem.

Zatem, jeśli – jako administratorzy danych – planujemy udostępniać wchodzące w skład zbioru dane podmiotom innym niż wyżej wymienione, w punkcie tym należy zaznaczyć kwadracik i w punkcie 13 wskazać te podmioty (ich nazwę i adres siedziby lub imię i nazwisko oraz adres zamieszkania). Ponieważ w naszym formularzu zakładamy, że dane ze zbioru nie będą udostępniane, pole wyboru pozostawiamy puste i przechodzimy do punktu 14.

13. Odbiorcy lub kategorie odbiorców, którym dane mogą być przekazywane
Tę część zostawiamy pustą.

14. Informacja dotycząca ewentualnego przekazywania danych do państwa trzeciego
Jak już zostało wyjaśnione w punkcie 2, państwami trzecimi są państwa nienależące do Europejskiego Obszaru Gospodarczego (w którego skład wchodzi Unia Europejska oraz Islandia, Lichtenstein i Norwegia). Wskutek ustawodawstwa unijnego na terenie państw należących do EOG został zapewniony swobodny przepływ danych osobowych oraz ujednolicony poziom ich ochrony, co w efekcie pozwala na przekazywanie danych pomiędzy tymi państwami bez konieczności informowania o tym fakcie GIODO. W celu utrzymania tego poziomu, w przypadku przekazywania danych do państwa trzeciego, administrator danych musi pamiętać o konieczności spełnienia dodatkowych wymagań przewidzianych w rozdziale 7 u.o.d.o.
W naszym formularzu tę część zostawiamy pustą.

Część E. Opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36 – 39 u.o.d.o.

15. Sposób prowadzenia zbioru danych osobowych
a) centralnie bądź w architekturze rozproszonej
Pomimo, że użyta w tym podpunkcie terminologia wygląda na skomplikowaną, wyjaśnienie jej nie jest trudne. Centralne prowadzenie zbioru danych oznacza – najprościej rzecz ujmując – zlokalizowanie danych należących do tego zbioru w jednym miejscu (w jednym pomieszczeniu, budynku, na jednym serwerze, nośniku).

Natomiast prowadzenie zbioru w architekturze rozproszonej oznacza, że dane są przetwarzane w sposób zdecentralizowany (w różnych miejscach, na różnych nośnikach), czego najlepszym przykładem jest przetwarzanie danych za pomocą systemu informatycznego, do którego możliwy jest dostęp z kilku stanowisk komputerowych czy na dwóch serwerach zlokalizowanych w odrębnych budynkach.
W punkcie tym wybieramy drugi kwadracik (w tym miejscu należy zaznaczyć tylko jeden z nich).

b) wyłącznie w postaci papierowej bądź z użyciem systemu informatycznego
Podpunkt ten chyba nie wymaga dokładniejszych wyjaśnień – zakładając, że nasz sklep korzysta z komputerów i innych urządzeń oraz programów służących do przetwarzania danych osobowych, zaznaczamy drugie pole wyboru (w tym punkcie również należy wybrać tylko jedno pole).

c) z użyciem co najmniej jednego urządzenia systemu informatycznego służącego do przetwarzania danych osobowych połączonego z siecią publiczną (np. Internet) bądź bez użycia takiego urządzenia
W dobie dynamicznego rozwoju technologicznego zapewne wielu osobom ciężko jest wyobrazić sobie komputer bądź inne urządzenie (router, modem) bez dostępu do Internetu, dlatego też w odniesieniu do zbiorów prowadzonych w systemie informatycznym w zdecydowanej większości przypadków będą Państwo w tym podpunkcie zaznaczać drugie pole wyboru. Tak też robimy i w naszym zgłoszeniu.

16. Informacja dotycząca spełnienia wymogów określonych w art. 36 – 39 u.o.d.o.
Podpunkty od 16a do 16e wskazują wymogi, które każdy administrator danych obowiązany jest spełnić przed rozpoczęciem przetwarzania danych w zbiorze.

a) informacja o tym, czy został wyznaczony administrator bezpieczeństwa informacji (ABI)
Do zadań ABI (może być nim, np. pracownik spółki lub zewnętrzna firma świadcząca tego typu usługi) należy, najogólniej mówiąc, zapewnianie przestrzegania przepisów o ochronie danych osobowych. Zgodnie z obecnymi przepisami administrator danych może powołać ABI, ale nie musi. Jeśli administrator danych nie zdecyduje się na powołanie ABI (co w odpowiedni sposób trzeba zgłosić do GIODO), wówczas musi samodzielnie wykonywać należące do niego czynności związane z zapewnieniem odpowiedniego poziomu przetwarzania danych, m.in. sprawdzanie zgodności przetwarzania danych osobowych z przepisami, opracowanie i aktualizowanie odpowiedniej dokumentacji, zapoznawanie osób upoważnionych do przetwarzania danych z przepisami o ochronie danych osobowych, prowadzenie rejestru zbiorów.
W naszym formularzu zaznaczamy drugie pole wyboru – administrator danych sam wykonuje czynności administratora bezpieczeństwa informacji.

b) do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych

c) prowadzona jest ewidencja osób upoważnionych do przetwarzania danych
Powyższe dwa punkty są ze sobą powiązane – do przetwarzania danych mogą zostać dopuszczone wyłącznie osoby, które otrzymały wcześniej indywidualne upoważnienie, a administrator danych ma obowiązek prowadzenia ewidencji takich upoważnień.
Oczywiście obydwa punkty należy zaznaczyć.

d) została opracowana i wdrożona polityka bezpieczeństwa

e) została opracowana i wdrożona instrukcja zarządzania systemem informatycznym
Zarówno polityka bezpieczeństwa, jaki i instrukcja zarządzania systemem informatycznym to wskazane przez ustawodawcę minimum dokumentacji dotyczącej przetwarzania danych osobowych, którą każdy administrator danych musi wdrożyć (oczywiście instrukcja zarządzania systemem informatycznym nie ma zastosowania do zbiorów prowadzonych wyłącznie w formie papierowej). Z uwagi na obszerną materię dokładnego omówienia tych dokumentów dokonamy w osobnych artykułach.
W tym miejscu należy podkreślić, że do zgłoszenia zbioru danych do rejestracji GIODO wystarczy zaznaczenie podpunktów d) i e) w formularzu – dokumentów tych nie należy załączać do zgłoszenia.

f) inne środki zastosowane w celu zabezpieczenia danych
Jeżeli zapewniamy jakiekolwiek inne środki ochrony danych osobowych, w tym miejscu należy je wskazać. Dla przykładu mogą to być:
 środki ochrony fizycznej, takie jak monitoring, służba ochrony zabezpieczająca dostęp do budynku;
 środki sprzętowe, informatyczne i telekomunikacyjne, takie jak określenie zasad szyfrowania w procesie przetwarzania danych, stosowanie identyfikatorów oraz haseł;
 środki organizacyjne, takie jak szkolenia z zakresu przepisów i procedur dotyczących danych osobowych.

Część F. Informacja o sposobie wypełniania warunków technicznych i organizacyjnych, o których mowa w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024)

17. Wskazanie poziomu, na jakim zostały zastosowane środki bezpieczeństwa
UWAGA – ta część zgłoszenia dotyczy wyłącznie zbiorów prowadzonych w systemach informatycznych.

Zgodnie z § 6 ww. rozporządzenia:
a) poziom co najmniej podstawowy stosuje się, gdy: (i) w systemie informatycznym nie są przetwarzane dane wrażliwe oraz (ii) żadne z urządzeń systemu informatycznego nie jest połączone z siecią publiczną;
b) poziom co najmniej podwyższony stosuje się, gdy: (i) w systemie informatycznym przetwarzane są dane wrażliwe oraz (ii) żadne z urządzeń systemu informatycznego nie jest połączone z siecią publiczną;
c) poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego połączone jest z siecią publiczną bez względu na rodzaj przetwarzanych danych.

Ponieważ w punkcie 15c naszego zgłoszenia zaznaczyliśmy pierwsze pole wyboru, jesteśmy zobowiązani do przetwarzania danych osobowych na poziomie wysokim i do tego też poziomu musimy dostosować wszystkie środki bezpieczeństwa.

Tak wypełniony formularz należy jeszcze tylko podpisać zgodnie z zasadami reprezentacji i zgłoszenie zbioru danych jest gotowe do doręczenia GIODO.


Trzeba jednak podkreślić, że zgłoszenie zbioru danych do rejestracji GIODO to tylko jeden z obowiązków administratora danych i nie przesądza ono o przetwarzaniu danych osobowych zgodnie z prawem. Przede wszystkim każdy administrator danych powinien pamiętać o dopełnieniu wszelkich obowiązków formalnych i zastosowaniu odpowiednich środków organizacyjnych i technicznych w celu zapewnienia należytej ochrony danych osobowych.

Opisany w niniejszym artykule formularz zgłoszenia zbioru danych do rejestracji GIODO będzie aktualny w takim kształcie do dnia 24 maja 2018 roku. Po tym dniu zacznie obowiązywać Ogólne Rozporządzenie o Ochronie Danych Osobowych, którego regulacje będą miały zastosowanie do wszystkich administratorów danych. O wszelkich zmianach wynikających z Rozporządzenia poinformujemy w osobnym artykule.