Mamy 10 708 opinii naszych Klientów
Zadaj pytanie » Zadaj pytanie »

Indywidualne Porady Prawne

Masz podobny problem?
Opisz nam go i zadaj pytania.

(zadanie pytania do niczego nie zobowiązuje)

Obowiązki przedsiębiorcy związane z ochroną danych osobowych

Autor: Hanna Żurowska • Opublikowane: 01.09.2015

Jednoosobowa działalność gospodarcza rozpoczyna działalność wydawniczą – głównie chodzi o sprzedaż książek w sklepie internetowym. Sprzedaż skierowana będzie głównie do instytucji, jednak poprzez stronę internetową zakupu będą mogły dokonywać również osoby prywatne. Pytanie dotyczy obowiązków, jakie musi spełnić przedsiębiorca, związanych z ochroną danych osobowych: czy nazwy, adresy instytucji (firm) podlegają pod tę ustawę? Jak w praktyce wygląda dostosowanie się do wymogów tej ustawy?

Hanna Żurowska

»Wybrane opinie klientów

Rewelacja!!! Wszystko bardzo klarownie wytłumaczone. Korzystałem z usług nie jednego prawnika, ale tak przygotowane pismo i objaśnienia jakie otrzymałem wprawiło mnie w zdumienie. Wszystko na najwyższym poziomie!!! Polecam serdecznie i dziękuję całemu zespołowi ePorady24, a w szczególności Panu Karolowi Jokielowi.
Zbyszek
Żadna opinia nie wyrazi mojej wdzięczności dla zespołu ePorady. Moja sprawa wydawała mi się tak skomplikowana, że nie do rozwiązania. Nie wiedziałem, od której strony ją zacząć. Szperając w internecie, natrafiłem na ePorady i okazało się, że moją sprawę można zacząć od strony, której absolutnie bym się nie spodziewał.
Jestem bardzo zadowolony z obrotu sprawy, która mnie dotyczy. Z tak znikomych danych, które przekazałem, otrzymałem pismo tak profesjonalnie napisane, jakby zespół ePorady był moim bardzo dobrym znajomym i znał mój problem tak dobrze jak ja. Dziękuję bardzo i będę polecał wszystkim korzystanie z waszych usług.
Henryk
Bardzo, bardzo dziękuję!!! W ciągu dwóch dni otrzymałam więcej wiadomości na temat mojej sprawy niż w ciągu 2 miesięcy od dwóch adwokatów!!!! Do tej pory dowiadywałam się tylko, jakie prawa ma osoba, która naraziła mnie na ogromne szkody, i jakie konsekwencje grożą mi, jeżeli nie będę respektować tych praw. Nawet odpowiedź na dodatkowe pytanie nastąpiła szybciej i była bardziej wyczerpująca niż trwająca od tygodnia dyskusja na ten temat z moim pełnomocnikiem (teraz byłym). O kosztach nie mówiąc. BARDZO POLECAM!!!
Małgorzata
Widziałem już wiele pozwów, ale sporządzony przez prawnika z eporady24.pl jest prawdziwym majstersztykiem i wyrazem profesjonalizmu. Jasno, konkretnie, przy minimum słów, maksimum treści. Do tego relacja jakości do ceny również znajduje swoje uzasadnienie. Z pełnym przekonaniem wygranej sprawy zanoszę pozew do sądu. Nikomu nie należy życzyć sądowych spraw, ale gdyby zaszła potrzeba, z pełnym przekonaniem mogę polecić eporady24.pl.
Jacek
Powiem tak: cuda załatwiane są od ręki! Na sprawie w sądzie sędzina była zaskoczona tak profesjonalnym i rzeczowym przygotowaniem, a wszystko dzięki ePorady24! Zakończyłem sprawę i wygrałem!!!! Polecam ten serwis i serdecznie dziękuję. Tak sprawnej obsługi mógłby pozazdrościć każdy inny serwis! Prawnicy są na najwyższym poziomie!!! Polecam z całego serca!!!
Zbyszek

Ustawa o ochronie danych osobowych nakłada na przedsiębiorcę szereg obowiązków dotyczących zapewnienia odpowiedniej ochrony danych osób fizycznych.

 

Danymi osobowymi są wszelkie informacje na temat osoby fizycznej, dzięki którym można ją zidentyfikować bez użycia nadmiernych sił i środków. Zalicza się do nich np. imię, nazwisko i adres.

 

Czy adres e-mail stanowi daną osobową? Tak, jeżeli umożliwia identyfikację jego posiadacza, np. adres: j.kowalski@google.pl jest daną osobową, wynika z niego wprost nazwisko i firma, w której pracuje dana osoba.

 

Przetwarzanie danych osobowych oznacza każdą operację lub zestaw operacji dokonywanych na danych osobowych przy pomocy środków zautomatyzowanych lub innych, jak np. gromadzenie, rejestracja, porządkowanie, przechowywanie, modyfikacja, odzyskiwanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, usuwanie lub niszczenie.

 

W przypadku przedsiębiorców typowymi zbiorami danych są np. akta osobowe pracowników, stworzone w związku z ich zatrudnieniem i z wykonywaną przez nich pracą, oraz zbiory danych konsumentów. Zbiory mogą być prowadzone zarówno w systemach informatycznych, jak i w formie papierowej.

 

Dane identyfikujące firmy lub inne osoby prawne nie podlegają ochronie danych osobowych, lecz zgodnie z orzecznictwem europejskim podlegają takiej ochronie dane osobowe pracowników tych firm.


Interesuje Cię ten temat i chcesz wiedzieć więcej? – kliknij tutaj i zapytaj prawnika >>

 

Wyżej cytowana ustawa wprowadza zasadę, że każdy ma prawo do ochrony dotyczących go danych osobowych. Natomiast przetwarzanie danych osobowych jest dopuszczalne tylko ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą.

 

Ochrona danych osobowych obejmuje także przetwarzanie danych osobowych w systemach informatycznych, w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych.

 

Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,

2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,

4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

2. Zgoda, o której mowa w ust. 1 pkt 1, może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania.

3. Jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a spełnienie warunku określonego w ust. 1 pkt 1 jest niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie możliwe.

4. Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności:

1) marketing bezpośredni własnych produktów lub usług administratora danych,

2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.”

 

Art. 24. 1. W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:

1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku,

2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,

3) (26) prawie dostępu do treści swoich danych oraz ich poprawiania,

4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

2. Przepisu ust. 1 nie stosuje się, jeżeli:

1) przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania,

2) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.”

 

Zakupy w sklepie internetowym wiążą się na ogół z pozostawieniem przez klienta swoich danych osobowych. Już rejestracje takie powodują, że po stronie sprzedawcy powstaje konieczność zarządzania bazą danych, zawierającą informacje o klientach, a także wymóg zgłoszenia jej do Głównego Inspektoratu Ochrony Danych Osobowych.

 

Już w momencie składania zamówienia przez kupującego nadawany jest mu numer rejestracyjny, a sklep staje się administratorem jego danych osobowych. W tym momencie użytkownik musi zaakceptować postanowienia regulaminu, zgodzić się na przetwarzanie danych osobowych.

 

Administratorzy często łączą akceptację regulaminu ze zgodą na przetwarzanie danych osobowych. Jest to jednak nieprawidłowe, zgoda musi zostać wyrażona osobno.

 

Obowiązek zgłoszenia do rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych zbioru danych wynika wprost z art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

 

Sama procedura rejestracji nie jest skomplikowana, jednak zanim administrator danych dokona zgłoszenia, musi spełnić szereg wymogów, w tym w szczególności:

 

  • zadbać o to, by zostały wdrożone odpowiednie środki techniczne: odpowiednie oprogramowanie antywirusowe, zabezpieczenia fizyczne,
  • środki organizacyjne (w szczególności musi zostać opracowana i wdrożona polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych),
  • zawrzeć stosowne umowy powierzenia przetwarzania danych z podmiotami, z którymi administrator danych współpracuje, powierzając im swoje dane osobowe,
  • zapewnić właściwą procedurę przy udostępnianiu danych osobowych.

 

Polityka bezpieczeństwa jest dokumentem ogólnym, który opisuje zbiory danych i metody ich przetwarzania. Główne elementy, jakie powinna zawierać polityka bezpieczeństwa: definicja, cel i zakres bezpieczeństwa informacji; krótkie wyjaśnienie intencji oraz polityki bezpieczeństwa, to znaczy zasad i standardów, takich jak wykrywanie złośliwego oprogramowania czy konsekwencji naruszenia polityki bezpieczeństwa; wykaz pomieszczeń w których są przetwarzane dane, wykaz posiadanych zbiorów danych osobowych itp.

 

Instrukcja zarządzania systemem informatycznym z kolei jest dokumentem o charakterze proceduralnym, który reguluje takie kwestie, jak np. odpowiednie ustawienie ekranu komputera, stosowanie wygaszaczy ekranu, procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osób odpowiedzialnych za te czynności, metody i środki ich uwierzytelniania, wszelkie procedury rozpoczynania i kończenia ich pracy, sposób przechowywania nośników informacji czy zabezpieczania systemów informatycznych.

 

Ponadto niezbędne będzie stworzenie:

 

  • upoważnień dla wszystkich, którzy będą przetwarzać dane osobowe,
  • ewidencji upoważnień do przetwarzania danych osobowych,
  • oświadczenia o zachowaniu w tajemnicy danych osobowych oraz informacji o sposobach ich zabezpieczenia.

 

Administrator, zwykle właściciel firmy, nie musi osobiście wykonywać wszystkich czynności związanych z procesem przetwarzania danych osobowych. Może skorzystać z usług wyspecjalizowanej firmy zewnętrznej. W tym celu zawiera umowę powierzenia. Ustawa wymaga, aby umowa powierzenia zawarta była na piśmie oraz wyraźnie określała zakres i cel przetwarzania danych.

 

Podmiot, któremu powierzono dane do przetwarzania nie staje się ich administratorem. Mimo to jest zobowiązany do podjęcia środków zabezpieczających informacje oraz do spełnienia wymagań określonych w rozporządzeniu. W tym zakresie ponosi taką odpowiedzialność jak administrator danych.

 

Obowiązek ochrony przetwarzanych danych osobowych ciąży na każdym właścicielu e-sklepu czy serwisu internetowego, który taki zbiór danych gromadzi. Wiąże się to nie tylko z koniecznością jego rejestracji u Głównego Inspektora Ochrony Danych Osobowych (GIODO), ale też odpowiedniego zabezpieczenia i zarządzania bazą.

 

Wyjątki od konieczności takiego zgłoszenia opisane są szczegółowo w ustawie o ochronie danych osobowych, w artykule 43.

 

„Art. 43. 1. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:

1) zawierających informacje niejawne,

1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,

2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,

2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej,

2b) przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym,

2c) przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej,

3) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,

4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,

5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,

6) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,

7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,

8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,

9) powszechnie dostępnych,

10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,

11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.”

 

W przypadku sklepów i serwisów internetowych, obowiązek rejestracji bazy danych oraz odpowiednie administrowanie nią wynika już z samego charakteru prowadzonej działalności tj. handlu, obsługi zamówień, a także prowadzenia działań marketingowych.

 

Oprócz zgłoszenia faktu posiadania bazy danych, sprzedawca internetowy musi zadbać o odpowiednią politykę prywatności, w której poinformuje o tym, jakie informacje są zbierane i w jakim celu. Oprócz tego polityka prywatności musi zawierać informacje o sposobie przechowywania danych, ich zabezpieczeniu i sposobie kontaktowania się właściciela sklepu z klientem. W skład polityki prywatności wchodzi również komunikat o używaniu plików cookies.

 

Od 22 marca 2013 roku na stronie internetowej musi znajdować się widoczna informacja o wykorzystaniu plików cookies i z odnośnikiem do pełnej polityki prywatności. Może to sprawdzić, oprócz GIODO, również Urząd Kontroli Elektronicznej, dlatego nie można pomijać tego elementu witryny.

 

Działania w celu wdrożenia bezpieczeństwa danych osobowych można podzielić na następujące etapy:

 

Etap I. Opracowanie dokumentacji związanej z ochroną danych osobowych:

 

  • Polityka bezpieczeństwa.
  • Instrukcja zarządzania systemem informatycznym.
  • Polityka prywatności.

 

Etap II. Rejestracja zbioru danych: zgłoszenie zbioru danych do rejestracji GIODO, można tego dokonać przez internet na stronie GIODO, poprzez wypełnienie wniosku, przesłanie, a następnie wydrukowanie wniosku, dołączenie Polityki Bezpieczeństwa i Instrukcji i przesłanie pocztą na adres GIODO.

 

Etap III. Wdrożenie opracowanego systemu przetwarzania danych osobowych, w tym przeszkolenie osób upoważnionych do przetwarzania danych osobowych.

 

Wzory powyższych dokumentów są dostępne w Internecie, są też firmy specjalizujące się w sporządzaniu takich dokumentów, nasz serwis również. Ważne, aby dokumenty te dostosować do istniejących w sklepie warunków technicznych i prawnych.

 

Akty prawne:

  1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (j.t. Dz. U. 2002 r. Nr 101, poz. 926).
  2. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, Dz. U. z 2004 r. Nr 100, poz. 1024.

 

Jeżeli chcesz wiedzieć więcej na ten temat – kliknij tutaj i zapytaj prawnika >>

 

Prezentowana opinia prawnika nie zawiera odpowiedzi na dodatkowe pytania klienta i dlatego może nie wyczerpywać w pełni omawianego zagadnienia. Często dopiero dzięki dodatkowym pytaniom i odpowiedziom można uzyskać kompletną poradę prawną. Podkreślamy, że w naszym serwisie można zadawać dodatkowe pytania bez ograniczeń czasowych i ilościowych.

wersja do druku drukuj

Komentarze (0):

Uwaga!
Szanowni Państwo!
Nasi prawnicy nie odpowiadają na pytania zadawane w formie komentarza pod tekstem. Jeśli chcą Państwo powierzyć swój problem naszym prawnikom, prosimy kliknąć tutaj >>

  • 7 minus cztery =

»Podobne materiały

Gromadzenie i przetwarzanie danych osobowych

Prowadzę działalność gospodarczą w Internecie, korzystam w tym celu z Allegro. Przez kilka lat zgromadziłem sporą bazę danych osobowych klientów. W najbliższym czasie chciałbym założyć własny sklep internetowy. Czy mogę legalnie wykorzystać zgromadzone dane w celu mailowego poi

Kto jest zobowiązany do rejestracji zbioru danych osobowych klientów?

Czy prowadząc serwis WWW, jestem zobligowany przepisami do rejestracji zbiorów danych osobowych klientów w GIODO? Czy są jakieś specjalne wytyczne i czy mogę skorzystać z ofert firm, które oferują usługę rejestracji w moim imieniu?

Usunięcie danych firmy, która nie istnieje

Mam problem dotyczący z wpisem mojej firmy do katalogu internetowego firm. Pół roku temu firma została zamknięta, a wpisy w tymże katalogu istnieją nadal. Pomimo próśb, ponagleń, e-maili administrator strony nie usunął danych firmy łącznie z adresem. Ponadto dokonywane są wpisy (opini

Administrowanie danymi osobowymi w spółce

Zarząd spółki odmawia członkowi rady nadzorczej wglądu w dokumenty (np. premie pracowników, premie dodatkowe, wynagrodzenia, umowy z podmiotami zewnętrznymi), argumentując to ochroną danych osobowych. Czy administratorem danych osobowych jest tylko zarząd, czy spółka, czyli rada nadzorcz

Przetrzymywanie danych w chmurze a zgłoszenie do GIODO

Firma–producent oprogramowania w chmurze przechowuje dane na serwerach w zewnętrznej serwerowni. „Serwerownia” nie ma żadnych informacji na temat przechowywanych tam danych. Nie ma również dostępu do serwera. Czy w związku z tym zachodzi konieczność przekazania przetwarzani

Przetwarzanie danych osobowych w celu ochrony zdrowia

Reprezentuję fundację, której głównym zadaniem statutowym jest oferowanie pomocy psychologicznej. Prowadzimy ośrodek psychoterapii. Pierwszy kontakt pacjenta z psychoterapeutą polega na tzw. konsultacji, w trakcie której konsultant rozeznaje, z jakim problemem zgłasza się dana osoba, i ofe

Sprzedaż baz danych zagranicznym klientom

Nasza firma ma zamiar skupować (tworzyć) bazy danych polskich firm i sprzedawać je zagranicznym klientom. Jakie wymogi lub zezwolenia musimy spełnić? Jaki obowiązuje VAT w przypadku sprzedaży za granicę? Czy nasi klienci zza granicy muszą od tych baz odprowadzić podatek? Jak wygląda dosta

Potwierdzenie telefoniczne wystawienia zaświadczenia o zatrudnieniu i zarobkach

Czy potwierdzając telefonicznie fakt wystawienia zaświadczenia o zatrudnieniu i zarobkach, naruszam przepisy ustawy o ochronie danych osobowych lub innych ustaw? Chodzi mi o sytuację, gdy przedstawiciel banku dzwoni z pytaniem, czy wystawiłam dane zaświadczenie, podając jego numer, datę wysta

Jak zakazać firmie przetwarzania danych osobowych?

Jak mam zakazać firmie pośredniczącej w udzielaniu kredytów używania moich danych osobowych? Mają wszystkie dane i zaświadczenia o zarobkach. Boję się, żeby nie wzięli na mnie jakiegoś kredytu. Gdzie to zgłosić? Zaprzestałam współpracy z tym pośrednikiem, ale dane wszystkie zo

Podszycie się pod inną osobę i wyłudzenie danych

Czy podszywanie się pod inną osobę, a dokładnie pod byłego pracodawcę i wyłudzenie danych o osobach, które uczestniczyły w pewnej wycieczce, to przestępstwo? Jak podjąć kroki prawne wobec osoby, która się tego dopuściła?

Sankcje za przetwarzanie danych, których przetwarzanie nie jest dopuszczalne

Art. 49 ust. 1 mówi o sankcji za przetwarzanie danych osobowych, których przetwarzanie nie jest dopuszczalne, albo za przetwarzanie bez uprawnienia do tego przetwarzania. Z brakiem uprawnienia do przetwarzania mamy do czynienia w przypadku przetwarzania danych w imieniu administratora danych bez j
Porad przez Internet udzielają
prawnicy z dużym doświadczeniem:
Prawnicy

Zapytaj prawnika

Zadanie pytania do niczego nie zobowiązuje!
Wycenę wyślemy do 1 godziny
wizytówka Szukamy ambitnego prawnika »