FAQ - GIODO - najczęściej zadawane pytania o ochronę danych osobowych

Jak wypełnić i zgłosić zbiór danych osobowych do GIODO? Rejestracja sklepu internetowego w GIODO.


Przede wszystkim należy pamiętać, że administratorem danych jest właściciel sklepu. IAI-Shop.com jest tylko narzędziem.

Proszę pamiętać, że poniższy tekst nie ma charakteru porady prawnej. W przypadku złożonych problemów prosimy o kontakt z kancelarią prawniczą lub GIODO w celu uzyskania specjalistycznej porady. Staramy się jedynie naświetlić pewne fakty, ale jeżeli nasza interpretacja nie będzie prawdziwa, nie ponosimy z tego tytułu żadnej odpowiedzialności.

Przy wypełnianiu wniosku do GIODO, który można znaleźć pod tym adresem:

https://egiodo.giodo.gov.pl/formular_step0.dhtml?actualize=true&c=0.4174579870554529

klienci najczęściej pytają się o ostatnie punkty 15 i 17, słusznie widząc tam rolę jaką bezpieczeństwo oprogramowania IAI-Shop.com odgrywa w ich działalności. Zacznijmy jednak od końca - ponieważ system do przetwarzania danych połączony jest z internetem w punkcie 17 konieczne jest zaznaczenie "poziomu wysokiego". Procedury jakie muszą być podjęte na tym poziomie zastrzega rozporządzenie Ministra Spraw Wewnętrznych i Administracji:

http://static1.money.pl/d/akty_prawne/pdf/DU/2004/100/DU20041001024.pdf

IAI informuje, że spełnia wszelkie techniczne wymogi postawione w tym rozporządzeniu. Warto jednak pamiętać, że hardware'owo i software'owo powinna być również zabezpieczona sieć wewnątrz firmy prowadzącej sklep internetowy.

Kwestie haseł, ich długości i częstotliwości ich zmieniania zostają w gestii właściciela sklepu. Zawsze może to ustawić w panelu administracyjnym systemu sklepu internetowego IAI-Shop.com.

Nasza sugestia zaznaczeń odnośnie punktu 15 wniosku do GIODO to zaznaczenie:

  • w architekturze rozproszonej,
  • z użyciem systemu informatycznego
  • z użyciem co najmniej jednego urządzenia systemu informatycznego służącego do przetwarzania danych osobowych podłączonego z siecią publiczną (np. Internetem)

W punkcie 16 w naszej ocenie powinno się zaznaczyć:

  • a) punkt lub oba, które są prawdziwe dla danej firmy
  • b) zaznaczenie, ponieważ są to tylko te osoby, które mają konta w panelu administracyjnym
  • c) tak, taka ewidencja to lista kont pracowniczych w panelu administracyjnym
  • d i e) - w zależności jak jest to ułożone w danej firmie.

Zasady takiej polityki bezpieczeństwa powinny w naszej ocenie zawierać co najmniej procedury dla pracowników co można a czego nie można robić z danymi klientów. Szczególnie również przypadki kiedy dane wyciekną - kto i w jaki sposób powinien zostać poinformowany. Warto również podpisywać z pracownikami umowy NDA (o nie ujawnianiu informacji poufnych) zawierające klauzule z odpowiednią karą za złamanie postanowień umowy.

Przede wszystkim pracownikom należy zakazać wynoszenia danych w jakiekolwiek formie, dokonywania transferu danych poza firmę. Warto też pamiętać o odpowiednim niszczeniu danych, w szczególności wydruków np. listów przewozowych lub innych dokumentów.


Kto jest odpowiedzialny za zgłoszenie zbioru danych osobowych do GIODO?


Przede wszystkim należy pamiętać, że administratorem danych jest właściciel sklepu internetowego. IAI-Shop.com jest tylko narzędziem.

Proszę pamiętać, że poniższy tekst nie ma charakteru porady prawnej. W przypadku złożonych problemów prosimy o kontakt z kancelarii prawnej lub GIODO w celu uzyskania specjalistycznej porady. Staramy się jedynie naświetlić pewne fakty, ale jeżeli nasza interpretacja nie będzie prawdziwa, nie ponosimy z tego tytułu żadnej odpowiedzialności.

Właściciel firmy jest swoim administratorem i właściciel firmy odpowiada za zgłoszenie zbioru danych i ich zabezpieczenie.
Lecz zgodnie z nowelizacją ustawy z 1 stycznia 2015 r o ochronie danych osobowych (zmiany wynikają z ustawy o ułatwieniu wykonywania działalności gospodarczej z dnia 7 listopada 2014 r Dz.U. z 2014 r. poz. 1662), jest możliwość zlecenie tego zewnętrznemu podmiotowi. Bowiem jedną z najważniejszych zmian tej nowelizacji jest możliwość zgłaszania Administratora Bezpieczeństwa Informacji, czyli konkretnej osoby do jawnego rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych. W zamian właściciel firmy, który przetwarza dane nie będzie musiał już zgłaszać poszczególnych zbiorów danych osobowych do GIODO (o ile nie zawierają danych wrażliwych), ponieważ ich rejestr będzie wewnętrznie prowadził Administrator Bezpieczeństwa Informacji.

Jeżeli nie chcesz samodzielnie się tym zajmować możesz poszukać firm świadczących takie usługi w swojej okolicy lub w sieci. IAI S.A. nie świadczy tego rodzaju usług.

Zgłaszam formularz do GIODO i muszę wypełnić rubryki o zastosowanych zabezpieczeniach. Nie wiem jakie IAI ma zabezpieczenia, ale Wasza firma przetwarza dane w moim imieniu. Co mam zaznaczyć? Czy wiąże nas odpowiednia umowa?


Proszę pamiętać, że poniższy tekst nie ma charakteru porady prawnej. W przypadku złożonych problemów prosimy o kontakt z kancelarią prawniczą lub GIODO w celu uzyskania specjalistycznej porady. Staramy się jedynie naświetlić pewne fakty, ale jeżeli nasza interpretacja nie będzie prawdziwa, nie ponosimy z tego tytułu żadnej odpowiedzialności.

Zgodnie z art. 31 (stan na sierpień 2011) ustawy o ochronie danych osobowych, w sytuacjach kiedy dane przetwarzane są w pewnym zakresie poza systemem Administratora Danych, Administrator danych może powierzyć innemu podmiotowi przetwarzanie danych w drodze pisemnej umowy.

Nasze usługi spełniają wymogi ustawy o ochronie danych osobowych oraz aktów wykonawczych do w/w ustawy. Regulamin oraz Umowa usługi IAI-Shop.com, określa jednocześnie zakres powierzenia, i tym samym stają się umowami o powierzenie przetwarzania danych, jak określono w ustawie. Umowa zawierana jest pisemnie.

Proszę zwrócić w tym kontekście uwagę na rozdział Regulaminu dotyczący danych osobowych.

Oznacza to, że nasza firma spełnia wszelkie wymogi GIODO.


Mam problem z wypełnieniem informacji w punkcie 16. Skąd mam wziąć informacje nt. Zabezpieczenia danych?


Proszę pamiętać, że poniższy tekst nie ma charakteru porady prawnej. W przypadku złożonych problemów prosimy o kontakt z kancelarią prawniczą lub GIODO w celu uzyskania specjalistycznej porady. Staramy się jedynie naświetlić pewne fakty, ale jeżeli nasza interpretacja nie będzie prawdziwa, nie ponosimy z tego tytułu żadnej odpowiedzialności.

Operator (IAI S.A.) niniejszym deklaruje, iż Operator wdrożył środki zabezpieczające określone w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. W szczególności za pomocą szyfrowania Operator zapewnia zabezpieczenie integralności i poufności danych osobowych przekazywanych poprzez Internet, w tym danych wykorzystywanych do uwierzytelnienia Operatora.

Klient żąda usunięcia konta. W systemie nie ma takiej możliwości, co mam zrobić? Czy mogę zostawić tylko imię i nazwisko?


Proszę pamiętać, że poniższy tekst nie ma charakteru porady prawnej. W przypadku złożonych problemów prosimy o kontakt z kancelarią prawniczą lub GIODO w celu uzyskania specjalistycznej porady. Staramy się jedynie naświetlić pewne fakty, ale jeżeli nasza interpretacja nie będzie prawdziwa, nie ponosimy z tego tytułu żadnej odpowiedzialności.

Według definicji z ustawy, przez usuwanie danych rozumie się zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą. A więc wykasowanie lub wpisanie losowych ciągów znaków w pole nazwisko lub imię technicznie rozwiązuje problem.

Jeżeli dane nie pozwalają na jednoznaczną identyfikację, tylko są ograniczone, to zwracamy uwagę na art. 32 punkt 3, który mówi (stan na sierpień 2011), że ?administrator danych może jednak pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub adres wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych sprzeciwem.?

Jednak, np. do celów statystycznych lub badań nie trzeba wymazywać informacji o kodzie pocztowym, kraju lub mieście z którego zostało złożone zamówienie. Po pierwsze nie są to dane osobowe, a po drugie pozwala na to art. 26 ust. 2.1 ustawy.

Przypominamy też, że informacje o firmach, powszechnie dostępne, w tym informacje o działalnościach gospodarczych, w których nazwie jest imię i nazwisko oraz adres zamieszkania, nie są danymi osobowymi. Są powszechnie dostępne w spisach, w tym tych prowadzonych przez organy państwa

Prowadzę czarną listę klientów w sklepie i klient zażądał usunięcia swoich danych. Figuruje na tej czarnej liście. Co zrobić?


Proszę pamiętać, że poniższy tekst nie ma charakteru porady prawnej. W przypadku złożonych problemów prosimy o kontakt z kancelarią prawniczą lub GIODO w celu uzyskania specjalistycznej porady. Staramy się jedynie naświetlić pewne fakty, ale jeżeli nasza interpretacja nie będzie prawdziwa, nie ponosimy z tego tytułu żadnej odpowiedzialności.

Jeżeli dane nie pozwalają na jednoznaczną identyfikację, tylko są ograniczone, to zwracamy uwagę na art. 32 punkt 3, który mówi (stan na sierpień 2011), że ?administrator danych może jednak pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub adres wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych sprzeciwem.?

Jest zatem możliwość aby pozostawić tylko adres lub tylko imię i nazwisko klienta na czarnej liście celem dalszego nie przetwarzania jego danych, czyli realizowania i przyjmowania zamówień.

Jeden klient regularnie monituje mnie i oczekuje odpowiedzi w sprawie swoich danych osobowych. Czy muszę co chwila odpowiadać na maile z pytaniem o dane osobowe? Jak często można się pytać o dane osobowe?


Proszę pamiętać, że poniższy tekst nie ma charakteru porady prawnej. W przypadku złożonych problemów prosimy o kontakt z kancelarią prawniczą lub GIODO w celu uzyskania specjalistycznej porady. Staramy się jedynie naświetlić pewne fakty, ale jeżeli nasza interpretacja nie będzie prawdziwa, nie ponosimy z tego tytułu żadnej odpowiedzialności.

Według ustawy (art. 32, stan na sierpień 2011) każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą. Jednak informacje o tym czy taki zbiór istnieje oraz kto nim administruje, jaki jest cel, zakres i sposób przetwarzania danych, od kiedy te dane się przetwarza oraz źródła z którego pochodzą oraz o sposobie udostępniania danych, a w szczególności
informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane nie muszą być podawane na każde wezwanie.

Ustawodawca reguluje to w ten sposób, że osoba zainteresowana może skorzystać z tego prawa do informacji nie częściej niż raz na sześć miesięcy.

W związku z czym, jeżeli jakiś klient bardzo często odpytuje państwa o te dane i naraża państwa na szkody nie zawsze trzeba odpowiadać. Czasem warto powołać się na ten sześciomiesięczny okres karencji pomiędzy zapytaniami.

Przekazuję dane o kliencie do innych firm, np. poczta, kurierzy, agregatory płatności. Czy robię to zgodnie z prawem?


Proszę pamiętać, że poniższy tekst nie ma charakteru porady prawnej. W przypadku złożonych problemów prosimy o kontakt z kancelarią prawniczą lub GIODO w celu uzyskania specjalistycznej porady. Staramy się jedynie naświetlić pewne fakty, ale jeżeli nasza interpretacja nie będzie prawdziwa, nie ponosimy z tego tytułu żadnej odpowiedzialności.

Tak, jest to dopuszczalne, o ile strony wiąże odpowiednia umowa i partner dba o bezpieczeństwo danych osobowych. Odbywa się to na zasadzie art. 31 ustawy mówiącego, że administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. A podmiot, o którym mowa może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. Oczywiście w takiej sytuacji odpowiedzialność za przetwarzanie danych spoczywa na obu stronach.

Podpisując umowę z kurierem, systemem płatności lub inna firmą przetwarzającą dane klientów sklepu radzimy zwracać uwagę na zapisy mówiące o standardach i odpowiedzialności za przetwarzanie danych.

Zwracamy jednak uwagę na Art. 35 p. 3 Ustawy (stan na sierpień 2011): ?Administrator danych jest obowiązany poinformować bez zbędnej zwłoki innych administratorów, którym udostępnił zbiór danych, o dokonanym uaktualnieniu lub sprostowaniu danych.? A więc po zmianie lub usunięciu danych należy poinformować firmy, które przetwarzały dane tego klienta. Również powinny je usunąć lub zmienić.

Klient założył konto, ale nie złożył zamówienia. Czy muszę automatycznie usunąć jego dane?


Proszę pamiętać, że poniższy tekst nie ma charakteru porady prawnej. W przypadku złożonych problemów prosimy o kontakt z kancelarią prawniczą lub GIODO w celu uzyskania specjalistycznej porady. Staramy się jedynie naświetlić pewne fakty, ale jeżeli nasza interpretacja nie będzie prawdziwa, nie ponosimy z tego tytułu żadnej odpowiedzialności.

Nie ma takiej konieczności, jeżeli klient nie cofnie zgody lub zażąda usunięcia danych. Art. 23 punkt 1 ustęp 3 Ustawy (stan na sierpień 2011) mówi, że: przetwarzanie danych jest dopuszczalne gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.

Zawarcie umowy kupna-sprzedaży to złożenie zamówienia. Więc dane osobowe są konieczne do realizacji zamówienia i umowy. Założenie konta w sklepie i podanie danych może być uznane za działania niezbędne do zawarcia umowy na żądanie osoby (klienta), tym bardziej że dane podawane są dobrowolnie przez klienta i to on żąda dostarczenia towarów.

Tak więc utrzymywanie danych, podanych dobrowolnie przez klientów, nawet jeżeli nie złożyli żadnego zamówienia, a tylko założyli konta, w naszym odczuciu jest zgodne z prawem.

Co muszę umieścić na stronie sklepu aby spełniać wymogi GIODO?


Proszę pamiętać, że poniższy tekst nie ma charakteru porady prawnej. W przypadku złożonych problemów prosimy o kontakt z kancelarią prawniczą lub GIODO w celu uzyskania specjalistycznej porady. Staramy się jedynie naświetlić pewne fakty, ale jeżeli nasza interpretacja nie będzie prawdziwa, nie ponosimy z tego tytułu żadnej odpowiedzialności.

Według ustawy konieczne jest umieszczenie na stronie:
1. adresu i siedziby i pełnej nazwy firmy, która jest administratorem danych. Klient musi wiedzieć do kogo i jak się zwrócić w celu ich zmiany lub usunięcia.
2. bardzo ważne jest określenie celu zbierania danych. W sklepie dane zbiera się w w celu założenia konta klienta i realizacji zamówień i, po dodatkowym potwierdzeniu przez klienta, w celach promocji i marketingu sklepu. Warto zwrócić uwagę, że to dwa różne procesy. Dobrze jest dodać w regulaminie sklepu, zapis mówiący, że składając zamówienie Klient wyraża zgodę na umieszczenie swoich danych osobowych w bazie sklepu oraz na ich przetwarzanie dla celów realizacji umowy. Podanie danych osobowych przez Klienta oraz zgoda na ich przetwarzanie są niezbędne do zrealizowania zamówienia przez Sklep. Można też wspomnieć, że to klient ponosi odpowiedzialność za podanie nieprawdziwych danych osobowych, co da możliwość ścigania żartownisiów.
3. informacji o prawie dostępu do danych i ich edycji ? każdy klient może to zrobić przez edycję konta lub np. wysyłając e-mail z takim wnioskiem.
4. warto pamiętać, że klient sklepu zawsze może żądać zmiany danych, usunięcia ich oraz kontroli danych. Dlatego sklep powinien wiedzieć od kiedy dane (datę przekazania danych) są przetwarzane oraz kto miał do nich dostęp (lista pracowników sklepu z uprawnieniami).

Kogo powinienem wskazać w pytaniu o przetwarzanie danych osobowych?


Proszę pamiętać, że poniższy tekst nie ma charakteru porady prawnej. W przypadku złożonych problemów prosimy o kontakt z kancelarią prawniczą lub GIODO w celu uzyskania specjalistycznej porady. Staramy się jedynie naświetlić pewne fakty, ale jeżeli nasza interpretacja nie będzie prawdziwa, nie ponosimy z tego tytułu żadnej odpowiedzialności.

Jeżeli podpisałeś umowę o powierzeniu przetwarzania danych z IAI S.A. na piśmie, wskaż IAI S.A. i podaj nasze dane w części B pkt. 3.
Odpowiedzialność za ewentualne naruszenie przepisów dotyczących ochrony danych osobowych ponosić będą osoby będące właścicielami sklepu.

Na jakim poziomie IAI S.A. stosuje środki bezpieczeństwa? Którą opcję powinienem zaznaczyć?


Proszę pamiętać, że poniższy tekst nie ma charakteru porady prawnej. W przypadku złożonych problemów prosimy o kontakt z kancelarią prawniczą lub GIODO w celu uzyskania specjalistycznej porady. Staramy się jedynie naświetlić pewne fakty, ale jeżeli nasza interpretacja nie będzie prawdziwa, nie ponosimy z tego tytułu żadnej odpowiedzialności.

IAI S.A. stosuje bardzo wysokie środki bezpieczeństwa. Zaznacz zatem, iż zastosowano środki na poziomie wysokim.

Pamiętaj, że wyżej wymienione materiały i rozwiązania są doskonałym punktem wyjścia do prowadzenia legalnej działalności. Nie zastępują jednak samodzielnego lub zleconego specjalistom audytu legalności, ani nie mają charakteru porady prawnej.