Prowadzisz firmę? Pamiętaj o rejestracji bazy swoich klientów w GIODO!

8
lis

Jakie zbiory danych należy rejestrować w GIODO?

Ustawa o ochronie danych osobowych nie wskazuje wprost jakie zbiory należy rejestrować, a jedynie wymienia dla jakich zbiorów nie ma obowiązku rejestrowego. Oznacza to, że każdy inny zbiór danych osobowych, który nie jest zawarty na liście zwolnień z obowiązku powinien być zarejestrowany. Poniżej przedstawiamy przykłady zbiorów, które podlegają rejestracji, a które nie oraz listę zwolnień z obowiązku rejestracji. Zwolnienie z rejestracji nie oznacza, że nie należy posiadać wdrożonej Polityki Bezpieczeństwa w firmie, w której powinien dany zbiór mieć swój opis i charakterystykę przetwarzania.

Formy zbiorów danych osobowych

Dane osobowe mogą być gromadzone w różnych formach, formatach. Pierwszym z nich jest forma papierowa. Są to różnego rodzaju formularze i dokumenty. Dobrym przykładem jest cała teczka pracownika, gdzie mamy do czynienia z formularzami osobowymi pracownika, podaniami o urlop, zwolnieniami lekarskimi itd. Drugim przykładem zbioru papierowego są reklamacje klientów, składane w formie formularza, gdzie oprócz opisu reklamacji podaje swoje dane osobowe takie jak imię i nazwisko wraz z adresem zamieszkania i telefonem.

Drugim bardzo popularnym formatem jest baza danych jako system informatyczny. W systemach informatycznych mogą być przechowywane dane pracowników, klientów, kontrahentów. Baza danych jest z reguły elementem innego systemu jak np. program kadrowy, CRM (system do zarządzania relacjami z Klientami), sklep internetowy lub platforma B2B.

Każdy taki system powinien być odpowiednio zabezpieczony zgodnie z wymogami ustawy na odpowiednim poziomie. Więcej o poziomach zabezpieczeń – tutaj.

Jakie zbiory należy rejestrować w GIODO?

zbiór danych osobowych pracowników     NIE
zbiór danych osobowych z danymi jedynie do wystawienia faktury     NIE
Klienci sklepu internetowego dokonujący jednorazowego zakupu     NIE
Klienci sklepu internetowego zakładający konto w sklepie     TAK
Użytkownicy serwisu internetowego zakładający konto w serwisie (zarówno Konsumenci jak i przedsiębiorcy)     TAK
Użytkownicy/Klienci będący przedsiębiorcami korzystający z platformy B2B     TAK
baza Klientów w systemie CRM (zarówno konsumenci jak i firmy)     TAK

Zbiory, których nie trzeba rejestrować

Zwolnienie z rejestracji nie zwalnia z obowiązku posiadania polityki bezpieczeństwa w firmie.

Są to:

  • zbiory zawierające informacje niejawne, które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,
  • przetwarzanych przez właściwe organy dla potrzeb postępowania sadowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,
    • przetwarzanych przez Generalnego Inspektora Informacji Finansowej,
    • przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym,
    • przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej,
  • dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,
  • przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
  • dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
  • tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,
  •  dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
  • przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, powszechnie dostępnych,
  • przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
  • przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

Jak to wygląda w praktyce codziennego życia przedsiębiorcy?

Przedsiębiorca twierdzi, że używa tylko danych do realizacji zamówienia:

Nie musimy rejestrować bazy, jeśli dane są wykorzystywane tylko do wypełnienia faktury. Natomiast wysłanie faktury czy towaru do odbiorcy – to wykorzystywanie danych osobowych. A taki zbiór podlega rejestracji w GIODO.

Przedsiębiorca uważa, że adres e-Mail nie należy do danych osobowych, ponieważ nie reprezentuje osoby:

GIODO uznaje adres E-mail za dane osobowe, mimo Art. 6.3 ustawy: „Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań”. Adres E-mail reprezentuje osobę ponieważ:

  • Do założenia adresu e-mail trzeba wypełnić formularz rejestracji, podając swoje dane, również zamieszkania.
  • Jeżeli podano w formularzu fikcyjne dane – następuje złamanie regulaminu dostawcy poczty.
  • Trzeba pamiętać, że w bazie zawierającej jedynie adresy e-mail będą nie tylko fikcyjne adresy, lecz również takie, które zawierają imię i nazwisko, np. jan.kowalski@domena.pl.

Rejestracji w GIODO należy dokonać już przed rozpoczęciem pozyskiwania danych.

Przedsiębiorca twierdzi, że nie używa swojej bazy klientów do celów marketingowych i nie rejestruje jej w GIODO.

Bazę danych osobowych należy zarejestrować nie tylko, kiedy wysyłamy towar do danej osoby, lecz również – kiedy wysyłamy jakąś informację, przypomnienie, życzenia do klientów itp. Nie są to działania marketingowe – lecz podlegają rejestracji w GIODO.

Przedsiębiorca mniema, iż ustawa dotyczy tylko dużych firm, sklepów internetowych oraz instytucji państwowych, urzędów.

Ustawa traktuje tak samo urzędy czy instytucję państwową, duże firmy jak i małe oraz osobę prywatną. Jeśli więc przedsiębiorca wykonuje działania związane z przetwarzaniem danych osobowych to podlega tej ustawie. Tutaj mamy kolejne zaskoczenie: rejestracji podlegają również zbiory danych osobowych wykorzystywane do celów prywatnych – np. kontakty w telefonie, spis numerów i adresów w kalendarzu – o ile kontakty takie wykorzystywane są zarobkowo. Jeśli posiadamy takie dane tylko do celów osobistych, prywatnych – nie podlegają pod ustawę. Jeżeli osoba prywatna uzyskuje przychód wykorzystując swoje osobiste zbiory danych kontaktowych, i nie posiada zarejestrowanej działalności gospodarczej – również podlega rejestracji bazy w GIODO. Ustawa nakłada kary na takie osoby – w przypadku osób nie prowadzących działalności to kara do 10 tys. zł. W przypadku firm – do 50 tys. zł.

Przypominamy, że nasze Biuro Rachunkowe zajmuje się również pomocą w rejestracji baz danych w GIODO. Zachęcamy do kontaktu w tej sprawie.

 

 

Więcej informacji na temat ustawy oraz danych podlegających rejestracji znajdą Państwo na stronie GIODO

opracowanie na podstawie: e-politykabezpieczenstwa.pl, ebiznesy.pl, giodo.gov.pl

Poradnik Przedsiębiorcy

Zapraszamy do zapoznania się z zawartością naszego Poradnika Przedsiębiorcy. Poradnik został przygotowany w sposób profesjonalny i wyjaśniający podstawowe zagadnienia związane z prowadzeniem działalności.

Dowiedz się więcej

Nasze biuro:

 

System do wystawiania faktur i zarządzania dokumentacją księgową

W trosce o naszych klientów stworzyliśmy specjalny system zarządzania fakturami. Jest wyjątkowo prosty w obsłudze, gdyż posiada intuicyjny interfejs. Pozwala uporządkować i ujednolicić faktury według jednego schematu.
Każdy nasz klient otrzymuje dostęp do systemu gratis.

ul. Kilińskiego 20
05-500 Piaseczno
e-mail: biuro@rachunkowe-piaseczno.pl
telefon: 505 029 799

Godziny pracy biura:
8 – 17 – od poniedziałku do piątku

Współpraca

213